SSL einrichten für Shop und Website in 5 Schritten
20.04.2018
Es ist erst ein paar Wochen her, da geisterte eine Meldung durch das Web - Google legt jetzt Wert darauf, dass Websites SSL verwenden. Es gab mehrere Newsletter und auch Webinare zum Thema. Mit SSL oder richtiger "TLS" werden die Daten, die zwischen Website und Besucher getauscht werden, verschlüsselt, so dass kein Dritter sie mitlesen kann. Hier habe ich das mal etwas genauer erklärt.
Und nun steht die DSGVO unmittelbar vor der Tür und erfordert ebenfalls, dass Formulare verschlüsselt werden. Wer immernoch kein SSL für seine Website verwendet, muss sich spätestens jetzt ernsthaft Gedanken darüber machen, sofern er mindestens ein Formular einsetzt, das personenbezogene Daten erfasst. Das betrifft z. B. jedes Kontaktformular, aber auch Kommentar-Formulare in Blogs.
Aber wie geht das eigentlich mit der Umstellung auf SSL?
1 - Zertifikat beauftragen
In aller Regel geht das ganz unkompliziert und komfortabel in der Verwaltung Ihres Hosting-Auftrags. Der Hoster (z. B. Domain Factory oder HostEurope) übernimmt die Beauftragung des Zertifikats und installiert es auch gleich auf dem Server.
Da ein normales Zertifikat in der Regel für genau eine Domain (Webadresse) ausgestellt wird, sollten Sie sich vorher überlegen, auf welcher Adresse Ihre Website aktuell und in Zukunft laufen soll. Das sollten Sie aber ohnehin tun, um Duplicate Content zu vermeiden.
2 - Umstellung der Adresse der Website
Wenn Sie ein Website- oder Shop-System, wie OXID, Wordpress oder die WEB-Villa, verwenden, ist dort die Webadresse zu hinterlegen, auf der die Website oder der Shop läuft. An welcher Stelle, ist dabei unterschiedlich. Bei OXID ist diese Angabe z. B. in der config.inc.php im Shop-Root zu machen, in der WEB-Villa in der application.ini und bei Wordpress im Backend unter Einstellungen → Allgemein. Hier ist einfach vor die URL statt http:// ein https:// zu stellen.
Vergessen Sie nicht, den Cache zu leeren (in OXID tmp Verzeichnis).
Testen Sie einmal, ob die Website sich dann mit https:// aufrufen lässt. Erscheint eine Sicherheitsmeldung, so dass die Seite gar nicht aufgerufen werden kann, ist in der Regel das Zertifikat nicht richtig eingerichtet (oder für die falsche Domain registriert). Genauere Informationen gibt es meist im Browser. Am besten setzen Sie sich zur Behebung mit dem Hoster in Verbindung. Hier hatte ich auch mal was aus der Praxis dazu geschrieben.
3 - Anpassung aller Ressourcen
Wenn Ihre Website oder Ihr Shop gut programmiert wurden, ist dieser Schritt minimal oder entfällt sogar ganz. Ressourcen sind alle eingebundenen Bilder, CSS- und JavaScript-Dateien. Werden diese von externen Quellen eingebunden, so müssen diese ebenfalls auf https umgestellt werden. Werden sie von intern eingebunden (also von derselben Domain), sollte möglichst auf absolute Pfade verzichtet und stattdessen mit relativen gearbeitet werden (ohne vorangestellte Domain).
Problematisch sind hierbei entweder unsauber programmierte Layouts, die mit absoluten Pfaden arbeiten; oder aber auch mit absoluten Pfaden eingebundene Inhalte, wenn Sie also z. B. beim Bearbeiten der Website-Inhalte ein Bild in einen Text eingebunden haben. Hier ist meist ein falsch eingestellter Editor das Problem.
Ob noch unsichere Ressourcen eingebunden sind, sehen Sie z. B. im Firefox an dem kleinen Schloss, das sich oben neben der Webadresse befindet. Ist es grün, ist alles in Ordnung. Ist es gelb, gibt es noch unsichere Ressourcen (oder andere Probleme). Welche das sind, sehen Sie dann meist in den Details.
ein gelbes Ausrufezeichen zeigt, dass noch unverschlüsselte Inhalte (Ressourcen) auf der Website verwendet werden
So sollte es anschließend aussehen (grünes Schloss).
4 - automatische Umleitung auf SSL
Damit alle Website Besucher automatisch die verschlüsselte Variante Ihrer Website zu sehen bekommen, und auch um Duplicate Content zu vermeiden, können Sie nun eine automatische Umleitung einrichten. Jeder unverschlüsselte Aufruf der Seite wird dann automatisch auf die verschlüsselte Variante umgeleitet.
Dazu editieren Sie die .htaccess, die sich in der Regel im untersten Verzeichnis Ihrer Website oder Ihres Shops befindet.
Sie werden dort irgendwo eine oder beide folgende Zeilen finden:
RewriteEngine On RewriteBase /
Fügen Sie darunter folgende Zeilen an und ersetzen Sie domain.tld durch Ihre Domain (z. B. meine-shopurl.de).
RewriteCond %{HTTP_HOST} ^domain.tld$ [OR] RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://www.domain.tld/$1 [R=301,L]
Schritt 5 - Testen
Ein wichtiger Schritt, der oft vergessen wird. Testen Sie nach der Umstellung Ihre Website nochmal durch - und zwar nicht nur die Startseite, sondern klicken Sie sich auch durch mehrere Seiten und prüfen Sie vor allem die Seiten, die Kontaktformulare enthalten.
Haben Sie Fragen zur SSL-Umstellung? Stellen Sie sie gern hier in den Kommentaren!
Oder benötigen Sie Unterstützung? Gern helfen wir Ihnen bei einem oder mehreren (oder allen) genannten Punkten. Bitte sprechen Sie uns an.
Kategorien: Recht & Sicher | Schlagworte: Datenschutz, Sicherheit
Tipps + News für deinen Shopware Online-Shop
Abonniere den Grips-Letter, und erhalte Ideen und Impulse für deinen Shopware Shop, die dir helfen, sichtbarer zu werden, deinen Umsatz zu steigern und Zeit, Geld und Nerven zu sparen. Für 0 Euro direkt in dein Postfach!
Du kannst dich jederzeit wieder abmelden. Mehr dazu findest du in unserer Datenschutzerklärung.
Ähnliche Beiträge
01.12.2013 | Recht & Sicher
16.01.2011 | Recht & Sicher
15.02.2016 | Zeit, Geld & Nerven
Tutorial: Cookie Meldung in OXID eShop aktivieren und anpassen
05.04.2011 | Umsatz ankurbeln