SSL Verschlüsselung
Bei einer sogenannten „SSL-Verschlüsselung“ (Secure Sockets Layer) wird die Verbindung zwischen einem Server und einem Client verschlüsselt.
Sie kann somit nicht von Dritten eingesehen werden. Die Verschlüsselung erfolgt in der Regel über das Protokoll https. Heute zählt die SSL-Verschlüsselung von Websites für Google zu den Ranking-Faktoren. Inzwischen ist auch eine noch sicherere Verschlüsselung per TLS (Transport Layer Security) möglich.
So funktioniert eine SSL-Verschlüsselung
Ist eine URL über https abrufbar, wird die Datenverbindung zwischen dem Browser und der Domain auf dem Webserver verschlüsselt. Um diese Verschlüsselung zu erzeugen, werden zunächst entsprechende Daten vom Browser abgerufen.
Der Client prüft zunächst, ob Server und Domain der aufgerufenen URL zusammengehören. Hierfür wird ein SSL-Zertifkat abgerufen, dass die Verbindung zwischen Webserver und Domain bestätigt.
Die SSL-Zertifikate werden wieder von bestimmten Einrichtungen, den „Certification Authorities“ (CA) ausgegeben. Die Zertifikate müssen von den Betreibern einer Website bei diesen Stellen angefordert werden. Dann wird der Antrag zusammen mit allen relevanten Angaben zur Seite geprüft. Das erstellte Zertifikat wird danach vom CA veröffentlicht, sodass es beim Seitenaufruf von einem Client heruntergeladen werden kann.
Die eigentliche Verschlüsselung erfolgt, indem die Daten zunächst mit einem öffentlichen Schlüssel gesichert werden. Die zwischen Server und Client gesendeten Informationen lassen sich mit dem auf dem Webserver hinterlegten privaten Schlüssel dann dechiffrieren. Dritte haben damit keinen Zugang zu dieser Datenverbindung zwischen zwei Teilnehmern.
Sollte eine gesicherte Verbindung nicht zustande kommen, wird das SSL-Protokoll ausgeschaltet.
Ob eine Datenverbindung zwischen Browser und Domainserver mit SSL verschlüsselt ist, erkennen Nutzer am https vor der Webadresse. Dabei handelt es sich um das gängige http-Protokoll, das mit SSL chiffriert wird.
Arten von SSL-Zertifikaten
Der CA Security Council (CASC), eine Organisation zur Erhöhung der Datensicherheit im Internet, hat verschiedene Anbieter für den Vertrieb der SSL-Zertifikate autorisiert. Die bekanntesten sind Thawte, GeoTrust oder GlobalSign; einer der bekanntesten Anbieter von kostenlosen SSL-Zertifikaten ist Let’s Encrypt.
Voraussetzung für einen Erwerb eines öffentlich nutzbaren Zertifikats ist, dass die betroffene Website auch öffentlich genutzt wird. Demnach lassen sich Intranet-Verbindungen nicht mit einem öffentlichen SSL-Zertifkat verschlüsseln, sondern benötigen andere Lösungen.
Alle SSL-Verschlüsselungen sind für eine Domain oder als Multidomainlösung (SAN-Zertifikate) erhältlich. Letztlich müssen Website-Betreiber selbst entscheiden, welche Variante sie wählen. Jedes Zertifikat hat immer nur eine bestimmte Laufzeit. In der Regel handelt es sich dabei um mindestens ein Jahr. Hierfür zahlen die Seitenbetreibe eine Gebühr an die CA.
Für Webmaster stehen verschiedene SSL-Zertifikate zur Auswahl, die sich anhand ihrer Verschlüsselungs- oder Vertrauensstufe unterscheiden. Hier sind die einzelnen Stufen in aufsteigender Sicherheit aufgeführt:
Domain Validated (DV)
Mit diesem auch „DV-Zertifikat“ genannten SSL-Schlüssel werden die Basisdaten einer Website erfasst und von der CA gespeichert und veröffentlicht. Diese einfache Form der SSL-Verschlüsselung wird von privaten oder kleinen Websites verwendet. Denn letztlich wird zwar die Datenverbindung verschlüsselt, aber das Zertifikat bestätigt nicht, dass es nur für ein bestimmtes Unternehmen ausgestellt wurde. So kommen diese Formen der SSL-Verschlüsselung zum Beispiel häufig vor, wenn kein dedizierter Server verwendet wird und sich mehrere Websites einen Server teilen. In diesem Fall ist die Verbindung bis zu einem https-Proxyserver abgesichert; die Verbindung zwischen diesem Server und der Website jedoch nicht mehr.
Organisation Validated (OV)
OV-Zertifikate werden erst nach gründlicher Prüfung des Unternehmens ausgegeben. Besucher einer Website können diese Daten dann abrufen und die Vertrauenswürdigkeit der Website genau kontrollieren.
Extended Validation (EV)
Diese SSL-Zertifikate werden nach sehr strengen Auswahlkriterien vergeben. Neben der Website wird gleichzeitig die Datensicherheit des Unternehmens begutachtet. Für User wird mit dem EV-Zertifikat deutlich, dass alle Verbindungen mit den Domains dieses Unternehmens SSL-verschlüsselt sind.
Einrichten einer SSL-Verschlüsselung
Um die SSL-Verschlüsselung für eine Website einzurichten, muss das gekaufte SSL-Zertifikat auf dem Server eingebunden werden. Zu diesem Zweck wird das Zertifikat auf den Server hochgeladen.
Anschließend können Webmaster in den Einstellungen des Servers je nach Art des Zertifikats auswählen, ob eine Domain, Subdomains oder mehrere Domains verschlüsselt werden sollen. Die Konfiguration kann in der Regel bequem über die Software des Webhosters erledigt werden.
Zum Schluss sollten die SSL-Verschlüsselungen mit unterschiedlichen Clients geprüft werden, wie Google Chrome, Firefox oder Microsoft Edge. Als Tools empfehlen sich auch SSL-Checker.
SSL-Verschlüsselung als Ranking-Faktor
Seit 2014 ist die SSL-Verschlüsselung ein Ranking-Faktor für Google. Die Websuche selbst ist schon seit 2011 mit https geschützt. Heute wird Nutzern von Google in den SERPs angezeigt, ob eine Website das https-Protokoll unterstützt.
Die HTTPS-Verbreitung in den Google-Suchergebnissen hat Searchmetrics 2017 untersucht. Danach waren im Bereich Finanzen 29% der URLs in den Suchergebnissen verschlüsselt. Die weiteren Anteile: E-Commerce 12%, Medien 12%, Gesundheit 19% und Reise 23%.