Sicher ist sicher
Gestern bestellt, heute schon aktiv, so schnell ging das mit dem Strato-SSL-Zertifikat für meine Domain schnurpsel.de. Zu erkennen ist das an dem Schloß-Symbol oben in der Adresszeile des Browsers.
Alle Daten, die zwischen Eurem Webbrowser und meiner Website hin- und hergeschickt werden sind nun verschlüsselt. Das bedeutet, daß niemand mitlesen kann, welche Seiten Ihr aufruft oder welche Daten Ihr als Kommentar abschickt.
Der Spaß kostet mich zwar 2,99 Euro im Monat, aber das ist es mir wert. :-)
Das Strato Single-Domain SSL-Zertifikat
Strato bietet für die Webhosting-Pakete zwei Zertifikate an. Ein Single-Domain-Zertifikat für 2,99 Euro im Monat, das genau für die Domain gilt, für die es bestellt wird. In meinem Fall ist das schnurpsel.de, es funktioniert aber auch für www.schnurpsel.de. Das war noch nicht immer so, wie hier ein Nutzer schreibt.
Es gibt zudem ein Wildcard-Zertifikat für 9,99 Euro im Monat, das auch alle Subdomains mit abdeckt, wie z.B. testblog.schnurpsel.de oder bilderdieb.schnurpsel.de. Aber das ist mir dann doch zu teuer und die Subdomains sind praktisch nur Testseiten.
So sehen die Daten des Zertifikates aus:
Ausgestellt ist es von Strato für www.schnurpsel.de, als Alternativ-Name ist aber auch schnurpsel.de eingetragen.
Das Zertifikat wird vom Browser ohne weitere Nachfrage akzeptiert, weil es in der Zertifikatshierarchie auf ein vertrauenswürdiges Root-Zertifikat von „Equifax Secure CA“ zurückgeht.
Besonderheiten beim Strato-SSL-Zertifikat
Viele Domains unter einer IP-Adresse
Ursprünglich funktioniert SSL nur dann, wenn unter einer IP-Adresse genau eine Website, also Domain angesprochen wird. Das liegt daran, daß die Verschlüsselung bereits bei der ersten Kontaktaufnahme des Browsers mit dem Server ausgehandelt wird und zu dem Zeitpunkt noch keine Information über die gewünschte Domain übertragen wird.
Beim Shared Webhosting der großen Anbieter wie auch Strato tummeln sich unter einer IP-Adresse aber viele Domains, so das hier SSL nicht ohne Weiteres funktioniert. Der Weg aus dem Dilemma ist eine Erweiterung des SSL-Standards von 2003 für das Multidomain-Hosting, die Server Name Indication (SNI). Hier wird der gewünschte Domainname bereits bei der Aushandlung, allerdings unverschlüsselt, übertragen.
Damit ist es möglich, auch mehrere Domains unter einer IP-Adresse mit individuellen SSL-Zertifikaten anzusprechen. Genau diese Erweiterung nutz auch Strato für die SSL-Zertifikate.
Die Sache hat eber einen kleinen Haken. Ältere Browser oder Geräte unterstützen den SNI-Standard nicht und so sind Websites damit nicht erreichbar. Der oben verlinkte Wikipedia-Artikel enthält eine Liste der Browser- und Systeme, die SNI unterstützen.
Die http auf https Weiterleitung
Damit künftig die Seite nur noch über https aufgerufen werden kann, sollten die http-Aufrufe auf https-Aufrufe weitergeleitet werde. Dazu bietet Strato im Kundenbereich die Option „SSL erzwingen“ an.
Eigentlich eine feine und bequeme Sache, wäre da nicht ein Problem. Die Weiterleitung, die mit dieser Option ausgelöst wird, hat den Status 302 Found, was folgendes bedeutet:
„Die angeforderte Ressource steht vorübergehend unter der im „Location“-Header-Feld angegebenen Adresse bereit. Die alte Adresse bleibt gültig.“
Genau das wollen wir aber nicht, die Seite soll nun immer und nur per https erreichbar sein. Richtig wäre also der Status 301 Moved Permanently:
„Die angeforderte Ressource steht ab sofort unter der im „Location“-Header-Feld angegebenen Adresse bereit (auch Redirect genannt). Die alte Adresse ist nicht länger gültig.“
So soll es sein. Mein Tip daher für Euch: Setzt nicht die Option im Strato-Kundenmenü aktiv, sondern macht die Umleitung in der .htaccess selber. Das ist auch nicht weiter kompliziert. Bei mir steht folgendes drin:
# HTTPS erzwingen
RewriteCond %{ENV:HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Das muß natürlich nach dem RewriteEngine On, aber am besten noch vor allen anderen RewriteRules stehen.
Warum Strato per 302 weiterleitet, keine Ahnung. Vielleicht sollte man sie mal auf den Fehler hinweisen. Mit den Statuscodes haben die es eh nicht so, wenn ich da noch an die Sache mit dem 410 denke.
https – ein Rankingvorteil bei Google
Als ich gestern das SSL-Zertifikat bei Strato bestellt hatte, wußte ich noch nicht, daß Google heute bekannt geben würde, daß die sichere SSL-Verschlüsselung ein Ranking-Faktor ist. Tja, Zufälle gibt es manchmal. :-)
Ist also alles prima und ich habe intuitiv das Richtige getan. Oder doch nicht?
Mir ist aufgefallen, daß meine Seiten hier bei Schnurpsel jetzt langsamer geladen werden. Zumindest kommt es mir so vor. Und da die Seitengschwindigkeit auch ein Rankingfaktor ist bleibt abzuwarten, was nun passiert. Überwiegt der Vorteil durch SSL oder der Nachteil durch die schlechtere Geschwindigkeit. Ich werde sehen…
Hallo,
danke für den Artikel. Ich finde 2,99€ im Monat für einfaches Zertifikat zu viel. Gute und günstige Zertifikate, gerade für Blogs oder ähnliches bekommt man bereits ab 7€ im Jahr. Bei Strato bezahlt man dafür dann 35€.. Durch ein SSL-Zertifikat entsteht eine höhere Last für den Server, wodurch auch die einzelnen Seiten etwas langsamer geladen werden. Das dürfte aber nach dem 2. Besuch vorbei sein, wenn alles im Cache ist.
Das größte Problem an Zertifikaten sind, das sie auslaufen. Dein Zertifikat geht z.B. bis zum 8.8.2015. Wenn das Zertifikat von Strato nicht automatisch aktualisiert ist erzählt jeder Besucher ab dem 9.8.2015 eine Warnmeldung, dass das Zertifikat nicht mehr Vertrauenswürdig ist. Gerade bei Onlineshops bringt das einen großen Traffic und Umsatzeinbruch. Daher sollte man sich den Termin im Kalender eintragen und früh genug aktualisieren.
Sobald man SSL aktiviert hat, sollte man http dauerhaft auf https umleiten, und dies auch im Google Webmaster Tools definieren und Sitemaps aktualisieren. Wird die Dauerhafte Umleitung nicht gemacht, so entsteht Duplicat Content, was dem Ranking schadet.
Grüße
Hallo Hannah,
danke für den ausführlichen Kommentar. Gut, es mag günstigere Zertifikate geben, aber allein ein Zertifikat nützt noch gar nichts. Man braucht einen Webserver, auf man es installieren kann.
Beim Shared-Webhosting der großen Anbieter wie Strato, 1&1 oder Host-Europe ist sowas nicht möglich. Gerade für Blogs und ähnliches kann es auch nicht die Lösung sein, daß sich nun jeder einen eigenen Server oder vServer zulegt, um sein eigenes, billiges Zertifikat installieren zu können. :-)
Klar, ein Zertifikat läuft ab. Bisher war es aber so, daß ich rechtzeitig vor dem Termin eine Erinnerungs-E-Mail vom Anbieter erhalten habe. Klar, die wollen mir ja auch ein Neues Zertifikat verkaufen. Schlecht ist es aber tatsächlich, wie Du sagst, wenn das Zertifikat abgelaufen ist. Das sollte man unbedingt vermeiden.
Aber bei einem einfachen Blog wie meinem wäre das auch kein Beinbruch.
Lieber Ingo,
ich bin Christian und arbeite in der Presseabteilung bei STRATO. Vielen Dank für Ihren Beitrag und Ihre konstruktive Kritik bezüglich der Weiterleitung. Zum Hintergrund: Unser Produktmanagement hatte sich für 302 entschieden, weil die die Einstellung „SSL erzwingen“ bei einigen Browsern zu Problemen führen kann. Diese lassen sich nur durch einen Neustart des Browsers beheben. Um unseren Kunden die technisch beste Lösung anzubieten, werden wir demnächst auf 301 umstellen. Über unsere FAQ erhalten die Kunden dann weitere Informationen.
Viele Grüße
Christian
Hallo Christian,
freut mich zu lesen, daß Ihr auf „die Stimmen aus dem Volk“ hört. :-)
Hallo,
interessanter Artikel. Dass HTTPS jetzt offiziell Ranking Faktor ist, verwundert nicht. Jedoch wird das nur für Online Shops etc. von Vorteil sein. Denn gerade dort ist Sicherheit das A und O. Für alle anderen Webseiten ist es eher ein lеiсhter Faktor, der das Ranking beeinflusst.
Ich habe nun ebenfalls ein solches Zertifikat installiert. Leider funktionieren nun PayPal IPN Messages nicht mehr. PayPal kann meine HTTPS Seite nicht mehr erreichen. Man kann das prima mit dem IPN Simulator von Paypal testen. Diese Seite funktioniert übrigens genauso wenig. Paypal quittiert den Test mit einem HTTP 502 Proxy Error.
Die HTTP-Seite funktioniert weiterhin.
Vermutlich unterstütz der Dienst, wie ältere Webbrowser auch, nicht das Server Name Indication (SNI)-Protokoll.
Aber zugegebenermaßen kenn ich mich da mit PayPal nicht so aus. Ist nur eine Vermutung.
Das Stichwort SNI war gut. Zusammen mit dem Wort PayPal spuckt Google hier hilfreiche Antworten wie die folgende aus:
http://wordpress.org/support/t...with-https-ssl-here-are-causes
Hi Ingo,
gute Sache! Ich habe bereits letzten Herbst umgestellt https://diesunddas.net/ssl-https-seo-teil1 und kann bisher nichts negatives berichten :-)
danke für den ausführlichen Kommentar
was heißt denn im Zertifikat, durch veraltete KrYptografie verschlüsselt? Wie bekommt man diesen aktuell?
Hallo Ingo,
ich überlege auch seit geraumer Zeit ein Zertifikat bei Strato zu buchen. Allerdings bin ich nach wie vor noch nicht so richtig überzeugt.
Inzwischen kostet es monatlich sogar 4,90 Euro bzw. 14,90 Euro. Da frag ich mich natürlich schon, welchen Nutzen es bringt. Hast du positive Auswirkungen aufs Ranking feststellen können? Hast du in den Google Webmaster Tools die Ladegeschwindigkeit mal überprüft, ob die Seite wirklich langsamer geladen wird?
Viele Grüße
Marco
Positive Auswirkungen auf das Ranking habe ich bisher nicht feststellen können. Und leider werden die Seiten wirklich langsamer, dazu hatte ich ja hier meine „Messungen“ beschrieben.
Und wenn es nun sogar € 4,90 im Monat kostet, also ich weiß nicht. Da hätte ich mir das wohl auch nochmal überlegt.
Entschuldigung, dass ich noch zu einem alten „Blog“ schreibe, aber ich wollte gestern ebenfalls SSL zu meiner Seite (bei Strato natürlich) hinzufügen, jedoch sind mir 4,90 Euro pro Monat (!) viel zu viel und nicht angemessen. Ich bin seit 2004 bei Strato und überlege alldieweil, zu einem anderen Anbieter zu wechseln, der so etwas preis gerecht anbietet.
Die 2,99 waren dann wohl ein Einführungspreis. Für 4,90 hätte ich es wohl auch nicht gemacht.
Es gibt natürlich günstigere und mittlerweile sogar kostenlose SSL-Zertifikate. Das Problem ist nur, daß das Zertifikat alleine nichts nützt, wenn man es nicht auf dem Server installieren kann.
Relativ einfach ist das natürlich bei Root-/V-Servern. Beim Shared-Webhosting dagegen ist man meist auf das Angebot des Webhosters angewiesen.
Ich kann diese Preispolitik von Strato auch nicht verstehen. Gerade habe ich WordPress für einen Blog neben meiner Webseite unter einer Subdomain installiert und möchte SSL-abgesichert in den Adminbereich. Geht nicht über den SSL-Proxyserver, d.h. ich müsste nun für viel Geld ein Zertifikat erwerben. Bei one.com hat man SSL im Preis inbegriffen und kann es einfach aktivieren. Wieso muss bei Strato (wie auch Mailsynchronisierung per Active Sync) so viel extra kosten, was es woanders ganz selbstverständlich im Paket mit drin gibt? Das lässt mich schwer darüber nachdenken, den Provider zu wechseln.
Ja, die „kleine“ SSL-Variante würde ja genügen, aber für den Preis und lediglich ein Schalten des Zertifikats sich für monatlich 4,90 Euro vergüten lassen, ist schon der Hammer!
Bin gerade bei meiner Recherche zu erhöhten Ladezeiten mit SSL-Zertifikat auf deinen Blog gestoßen. Ich vermute, dass STRATO für die „SSL dauerhaft aktivieren“-Funktion den HTTP-Code 302 verwendet, damit es keine Caching-Probleme gibt, sollte diese Option wieder deaktiviert werden (weil man das Zertifikat kündigt o. Ä.).
Glеiсhes hatte ich auch schon bei der normalen Domainumleitung festgestellt, die beim Umleitungstyp „HTTP“ eine 302-Weiterleitung darstellt. Auch hier kann ich mir nur vorstellen, dass damit bewusst verhindert werden soll, dass die Umleitung von Browsern gecached wird, damit im Falle einer Änderung der Umleitung die bisherigen Besucher nicht fälschlicherweise noch auf die alte Adresse geleitet werden.
Mag sein, es ist aus meiner Sicht aber trotzdem falsch.
Wenn ich meine Seite von HTTP auf HTTPS umstelle, ist das für mich keine vorübergehende Sache, wie es ein 302 impliziert.
Wenn man so rangeht, wie Du es vermutest, wäre der 301 ja praktisch unsinnig, weil es ja immer mal vorkommen kann, daß ich irgendwann später irgendetwas ändere.
Außerdem geht Strato bei einer „Umleitung“ per DNS-Eintrag genau anders herum vor. Hier wird der harte 410 und nicht der weichere 404 verwendet. Das ist dann irgendwie inkonsequent.