http oder https ? Wann ein SSL Zertifikat zur Pflicht wird

und wann nicht

Webseiten können unsicher sein und ein Sicherheitsrisiko darstellen, wenn sie nur über http erreichbar sich sind. Möchte man eine sichere Website haben, dann kann man eine SSL Verschlüsselung einbauen und die Seite wird über https aufgerufen. So weit so gut, aber ist ein SSL Zertifikat tatsächlich ein muss und falls ja, wann und wo?

Wo https absolute Pflicht ist !

Überall wo der Besucher seine persönliche Daten wie Name, Adresse und die Bankverbindung angeben muss. Dies ist bei Internet Banking und Onlineshops der Fall und hier muss der Login-Bereich klipp und klar mit einem SSL Zertifikat geschützt sein.

Bei Banken ist es sinnvoll dass die komplette Webseite geschützt ist, denn es erhöht die gefühlte Sicherheit des Kunden erheblich. Bei Onlineshops reicht es nach meinem Verständnis aus, wenn der Kundenbereich abgesichert und verschlüsselt ist. Aber in der Zwischenzeit hat sich das Sicherheitsbewusstsein der Kunden / Besucher verändert und deshalb ist es auch bei Shops durchaus sinnvoll, alle Seiten des Onlineshops mit einem SSL Zertifikat zu versehen und die komplette Domain nur über https erreichbar zu machen.

Wo https keinen Sinn macht !

Reine Informationsseiten auf denen man keine Daten eingeben kann. D.h. keine E-Mail Adresse, kein Login, keine sensiblen Kundendaten, einfach nichts. Informationsseiten sind zum lesen und informieren da und zu sonst nichts. Deshalb braucht es hier wirklich keine SSL Verschlüsselung.

Wo https und eine SSL Verschlüsselung Sinn ergeben kann, aber trotzdem nicht zwingend notwendig ist ?

Blogs und CMS Websites wie WordPress, die eine Kommentar Funktionen haben und man seine E-Mail Adresse angeben muss um die Funktion zu nutzen. Dies betrifft nicht nur Blogs, sondern zum Beispiel auch Magazine, Zeitungen usw.

Die Risiken einer SSL Verschlüsselung

  • Will man eine Webseite von http auf https umstellen, dann reicht es nicht aus, einfach nur ein SSL Zertifikat beim Hoster zu bestellen. Man muss dafür Sorge tragen, dass alle Inhalte der Website eine sichere Herkunft nachweisen können. Bilder, Iframes, Favicons, Cookies, also wirklich alles muss über das eigene SSL Zertifikat abgesichert sein. Ist dies nicht der Fall, dann quittiert einem der Browser wie FireFox oder Chrome, die Unsicherheit sofort mit einer Fehlermeldung.
  • Die Laufzeit des SSL Zertifikats ist begrenzt und nach Ablauf ist die Domain nicht mehr sicher über https erreichbar. Mit der Folge, dass die URL zwar über https erreichbar, aber ein gewaltige Fehlermeldung im Browser zu sehen ist. FireFox zum Beispiel will den Besucher dann überhaupt nicht mehr auf die Website lassen und das schreckt den Besucher erst recht ab.
  • Ein SSL Zertifikat kostet Geld. Es gibt zwar auch kostenlose Zertifikate, aber die muss der Hoster auch zur Verfügung stellen. Ist dies nicht der Fall, dann muss man sich fragen, ob man für eine reine Informationsseite auch tatsächlich bereit ist, jeden Monat Geld dafür auszugeben. Verdient man nur ein paar Kröten über Werbebanner oder AdSense, dann lohnt es sich nicht.
  • Sämtliche Links die zur Webseite führen müssen von http auf https umgeleitet werden. Die internen URL´s der Webseite im übrigen auch.

SSL ZertifikatVorsicht: SSL Zertifikat abgelaufen und Firefox sperrt den Besucher komplett aus. Deshalb finde ich es einen Irrsinn wenn man Seiten verschlüsselt, die kein Sicherheitsrisiko darstellen. URL´s die heikel sind und mit https verschlüsselt werden müssen, haben im Google Index nichts verloren.

Fazit zum SSL Zertifikat

Ein SSL Zertifikat ist zwingend Notwendig wenn sensible Kundendaten auf der Webseite eingegeben werden müssen, wie zum Beispiel bei Onlinehops. Bei Seiten die auf einem CMS System basieren und Besucher aktiv auf der Seite mit Kommentaren agieren können oder Kontaktformulare ausfüllen müssen, kann man SSL empfehlen. Wer eine reine html oder php Seite hat, die lediglich Informationen bereitstellt, würde ich persönlich die Finger von einem SSL Zertifikat lassen und die Seite nicht von http auf https umstellen, weil ich darin keinen Sinn und keine Notwendigkeit erkennen kann. Rein aus SEO Zwecken um ein bisschen Suchmaschinenoptimierung zu betreiben, würd ich mir den SSL Schuh nicht anziehen.