Hypertext Transfer Protocol, kurz HTTP hat wohl jeder, der mit WordPress arbeitet schon einmal gehört. Es ist seit 1991 das Standard-Internetprotokoll, mit dem Webseiten in einen Browser geladen werden.
Doch dort, wo im Internet Daten übertragen werden, sind diese auch anfällig dafür, abgehört zu werden. Sicherer ist es also, die Daten nur verschlüsselt durch das Netz zu senden. Zu diesem Zweck wurde bereits 1994 das Internetprotokoll HTTPS, das Hypertext Transfer Protocol Secure eingeführt. Das ist inzwischen unter Verwendung eines SSL-Zertifikats, auch TSL-Zertifikat, zum Standard bei großen Internetseiten geworden.
Mit der neuen EU-Datenschutzverordnung, die im Mai 2018 in Kraft tritt, wird die Verschlüsselung zur Pflicht, sobald eine Internetseite Daten der Besucher erfasst. Das kann über ein Formular oder ein Newsletter-Tool sein.
Damit ist dann doch alles bestens, oder?
Im Prinzip ja, aber nur in der Theorie.
SSL/TSL-Zertifikate
Denn wenn man loslegt mit einem Blog, einer WordPress-Seite zum Beispiel, hat diese zunächst das unverschlüsselte HTTP-Protokoll. Eine Umstellung auf HTTPS ist jederzeit möglich, allerdings mit Aufwand und eventuell auch mit Kosten verbunden. Benötigt wird dafür ein SSL- Zertifikat, bzw. mit dem neuen Namen das TSL-Zertifikat.
Dabei bedeutet SSL Secure Sockets Layer, und TSL Transport Layer Security.
Es gibt verschiedene Möglichkeiten, ein SSL/TSL-Zertifikat für die Webseite zu bekommen.
SSL-Zertifikat über Web-Host beantragen und einbinden: einfach aber nicht immer günstig
Die einfachste Möglichkeit ist, das Zertifikat beim eigenen Web-Hoster zu beantragen, jedoch variieren hier die Preise zum Teil stark. Mein Host zum Beispiel wollte für diesen Service 99 Euro im Jahr. Ich weiß von anderen, die 25 € verlangen.
Externes Zertifikat einbinden: kompliziert
Ich könnte auch ein extern erstelltes Zertifikat benutzen oder sogar eins selbst ausstellen.
Das externe Formular muss in die entsprechen Felder der Einstellungen meiner Domain eintragen. Das sah kompliziert, aber nicht unmöglich aus.
Zertifikat mit CSR-Generator selbst erstellen: erzeugt Warnhinweis
Ein mithilfe eines so genannten CSR-Generators selbst ausgestelltes Formular ermöglicht die verschlüsselte Datenübertragung, erzeugt aber beim Seitenaufruf eine Fehlermeldung, die darauf hinweist, dass kein offizieles Zertifikat für die Seite benutzt wird.
Zudem gibt es verschiedene Arten von Zertifikaten:
- Domain-Validierung – Zertifikat für eine einzelne Domain
- Organisations-Validierung – Überprüfung des Webseitenbetreibers mit persönlichen Daten / Firmendaten: die Organisation steht dann in grüner Schrift neben der URL im Browser. Aufwendiger und teurer., als die Domain-Validierung.
SSL-Zertifikat von Let’s Encrypt – gemeinnützige Organisation zur Verbreitung der Verschlüsselung
In meinem Fall konnte ich bei meinem Host sogar ein kostenloses Zertifikat des Anbieters Let’s Encrypt bekommen. Let’s Encryt ist eine gemeinnützige Organisation, die sich die Verbreitung von Verschlüsselung im Internet zum Ziel gemacht hat.
Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. It is a service provided by the Internet Security Research Group (ISRG).
We give people the digital certificates they need in order to enable HTTPS (SSL/TLS) for websites, for free, in the most user-friendly way we can. We do this because we want to create a more secure and privacy-respecting Web.
Mit folgenden Schritten gelang ich mithilfe des Let’s Encrypt SSL-Zertifikats zu meiner https-verschlüsselten Wordress-Blog

1. SSL-Zertifikat beantragt
In den Domaineinstellungen das Zertifikat beantragen, einige Minuten warten.
Prüfen, ob die eigene Seite unter https://domainname erreichbar ist.

2. SSL-Verschlüsselung aktivieren
SSL auf ‚aktivieren‘ setzen
SSL auf ‚erzwingen setzen, damit Anfragen der Seite mit http:// immer auf https:// umgeleitet werden.
Im WordPress-Backend – Blog auf https umstellen
Im WordPress-Backend (der Redaktionsumgebung) unter ‚Einstellungen/Allgemein‘ die Blogadresse auf https:// setzen.

Seitennamen umbenennen – Better Search Replace
Das Plugin Better Search Replace installieren.
In Werkzeuge/Better Search Replace starten und dort nach http://domainname suchen und es durch https:// domainname ersetzen.
Es ist hier sicherer, nach dem kompletten Domainname zu suchen und diesen zu ersetzen. Es dürfen auch GUIDs ersetzt werden, der Haken dort kann also gesetzt werden.
Ein Testlauf zeigt bei Bedarf zunächst, wieviele Einträge gefunden werden und ersetzt würden.
Vor dem echten Durchlauf der Funktion ist es sinnvoll ein Backup der Dateien zu erstellen!

.htaccess ändern – Seiten umleiten
Die Datei .htaccess editieren und für die Umleitung aller Anfragen von http-Seiten der Domain auf die neu erstelten https-Seiten folgende Zeilen ergänzen:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
Mögliche Fehlerquellen
Nachdem ich diese Schritte angewendet habe, wurde mir bei Seitenaufruf noch ein Fehler angezeigt. Es stellte sich heraus, dass ich eine Grafik einer Blogverzeichnisses eingebunden hatte, die eine http-Adresse hatte. Da ich in diesem Blogverzeichnis keine Linksgrafik mit https-Adresse fand und auch keine https-Adresse für mein Blog angeben durfte, habe ich den Link ganz einfach entfernt.
Test: hat die Umstellung geklappt?
- Aufruf der eigenen Seite mit http
- Test von internen Links
- Test von externen http-Links auf die eigene Seite
- Suche der eigenen Seite in Suchmaschinen, Test der Links dort
- Test von Plugins, zum Beispiel Newsletter-Tool und Formularen
Weitere Schritte
URL der eigenen Webseite in Sozialen Medien und Partnerprogrammen ändern. Denn auch hier erzeugt eine verschlüsselte Seite mehr Vertrauen bei Besuchern Ihrer Profilseite.
Fazit: SSL-Zertifikat von Lets Encrypt einbinden lief leicht und komplikationsfrei
Ich habe die Umstellung auf die https-Verschlüsselung lange Zeit vor mir hergeschoben, da ich Sorge hatte, dass es kompliziert würde und meine Blogs in Suchmaschinen möglicherweise schlechter gelistet werde. Beides war nicht der Fall.
Für eine Domain hat die Umstellung etwa 15 Minuten gedauert, in einem Fall mit dem Fehler etwa 40 Minuten. Der abschließende Test aller Links und die Umstellung auf den Profilen meiner Partnerprogramme und Sozialen Medien nochmals je Blog 15 Minuten.
Weitere Links
Ich habe mich bei der Umstellung an die Schritte dieser Anleitung von Daniel Hüsken gehalten, vielen Dank dafür.
Was ist eigentlich ein SSL-Zertifikat? Artikel auf t3n