WordPress Blog auf https umstellen – SSL-Zertifikat erstellen und einbinden

Von Oliver HuebnerTools
Das grüne Schloss - https-Seite in der URL

Hypertext Transfer Protocol, kurz HTTP hat wohl jeder, der mit WordPress arbeitet schon einmal gehört. Es ist seit 1991 das Standard-Internetprotokoll, mit dem Webseiten in einen Browser geladen werden.

Doch dort, wo im Internet Daten übertragen werden, sind diese auch anfällig dafür, abgehört zu werden. Sicherer ist es also, die Daten nur verschlüsselt durch das Netz zu senden. Zu diesem Zweck wurde bereits 1994 das Internetprotokoll HTTPS, das Hypertext Transfer Protocol Secure eingeführt. Das ist inzwischen unter Verwendung eines SSL-Zertifikats, auch TSL-Zertifikat, zum Standard bei großen Internetseiten geworden.

Mit der neuen EU-Datenschutzverordnung, die im Mai 2018 in Kraft tritt, wird die Verschlüsselung zur Pflicht, sobald eine Internetseite Daten der Besucher erfasst. Das kann über ein Formular oder ein Newsletter-Tool sein.

Damit ist dann doch alles bestens, oder?

Im Prinzip ja, aber nur in der Theorie.

SSL/TSL-Zertifikate

Denn wenn man loslegt mit einem Blog, einer WordPress-Seite zum Beispiel, hat diese zunächst das unverschlüsselte HTTP-Protokoll. Eine Umstellung auf HTTPS ist jederzeit möglich, allerdings mit Aufwand und eventuell auch mit Kosten verbunden. Benötigt wird dafür ein SSL- Zertifikat, bzw. mit dem neuen Namen das TSL-Zertifikat.

Dabei bedeutet SSL Secure Sockets Layer, und TSL Transport Layer Security.

Es gibt verschiedene Möglichkeiten, ein SSL/TSL-Zertifikat für die Webseite zu bekommen.

SSL-Zertifikat über Web-Host beantragen und einbinden: einfach aber nicht immer günstig

Die einfachste Möglichkeit ist, das Zertifikat beim eigenen Web-Hoster zu beantragen, jedoch variieren hier die Preise zum Teil stark. Mein Host zum Beispiel wollte für diesen Service  99 Euro im Jahr. Ich weiß von anderen, die 25 € verlangen.

Externes Zertifikat einbinden: kompliziert

Ich könnte auch ein extern erstelltes Zertifikat benutzen oder sogar eins selbst ausstellen.
Das externe Formular muss in die entsprechen Felder der Einstellungen meiner Domain eintragen. Das sah kompliziert, aber nicht unmöglich aus.

Zertifikat mit CSR-Generator selbst erstellen: erzeugt Warnhinweis

Ein mithilfe eines so genannten CSR-Generators selbst ausgestelltes Formular ermöglicht die verschlüsselte Datenübertragung, erzeugt aber beim Seitenaufruf eine Fehlermeldung, die darauf hinweist, dass kein offizieles Zertifikat für die Seite benutzt wird.

 

Zudem gibt es verschiedene Arten von Zertifikaten:

  • Domain-Validierung – Zertifikat für eine einzelne Domain
  • Organisations-Validierung – Überprüfung des Webseitenbetreibers mit persönlichen Daten / Firmendaten: die Organisation steht dann in grüner Schrift neben der URL im Browser. Aufwendiger und teurer., als die Domain-Validierung.

 

SSL-Zertifikat von Let’s Encrypt – gemeinnützige Organisation zur Verbreitung der Verschlüsselung

In meinem Fall konnte ich bei meinem Host sogar ein kostenloses Zertifikat des Anbieters Let’s Encrypt bekommen. Let’s Encryt ist eine gemeinnützige Organisation, die sich die Verbreitung von Verschlüsselung im Internet zum Ziel gemacht hat.

https://letsencrypt.org/

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. It is a service provided by the Internet Security Research Group (ISRG).

We give people the digital certificates they need in order to enable HTTPS (SSL/TLS) for websites, for free, in the most user-friendly way we can. We do this because we want to create a more secure and privacy-respecting Web.

Mit folgenden Schritten gelang ich mithilfe des Let’s Encrypt SSL-Zertifikats zu meiner https-verschlüsselten Wordress-Blog

 

Screenshot aus Domainverwaltung
SSL-Zertifikat von Let’s Encryp beantragen

1. SSL-Zertifikat beantragt

In den Domaineinstellungen das Zertifikat beantragen, einige Minuten warten.
Prüfen, ob die eigene Seite unter https://domainname erreichbar ist.

Screenshot in der Domainverwaltung
Detailinformationen zum SSL-Zertifikat

2. SSL-Verschlüsselung aktivieren

SSL auf ‚aktivieren‘ setzen
SSL auf ‚erzwingen setzen, damit Anfragen der Seite mit http:// immer auf https:// umgeleitet werden.

Im WordPress-Backend – Blog auf https umstellen

Im WordPress-Backend (der Redaktionsumgebung) unter ‚Einstellungen/Allgemein‘ die Blogadresse auf https:// setzen.

Sceenshot WordPress - Seite auf https setzen
Seite auf https setzen

Seitennamen umbenennen – Better Search Replace

Das Plugin Better Search Replace installieren.
In Werkzeuge/Better Search Replace starten und dort nach http://domainname suchen und es durch https:// domainname ersetzen.

Es ist hier sicherer, nach dem kompletten Domainname zu suchen und diesen zu ersetzen. Es dürfen auch GUIDs ersetzt werden, der Haken dort kann also gesetzt werden.

Ein Testlauf zeigt bei Bedarf zunächst, wieviele Einträge gefunden werden und ersetzt würden.

Vor dem echten Durchlauf der Funktion ist es sinnvoll ein Backup der Dateien zu erstellen!

Screenshot Plugin Better Search Replace
Dateien mit http suchen und durch https ersetzen

.htaccess ändern – Seiten umleiten

Die Datei .htaccess editieren und für die Umleitung aller Anfragen von http-Seiten der Domain auf die neu erstelten https-Seiten folgende Zeilen ergänzen:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </IfModule>

Mögliche Fehlerquellen

Nachdem ich diese Schritte angewendet habe, wurde mir bei Seitenaufruf noch ein Fehler angezeigt. Es stellte sich heraus, dass ich eine Grafik einer Blogverzeichnisses eingebunden hatte, die eine http-Adresse hatte. Da ich in diesem Blogverzeichnis keine Linksgrafik mit https-Adresse fand und auch keine https-Adresse für mein Blog angeben durfte, habe ich den Link ganz einfach entfernt.

Test: hat die Umstellung geklappt?

  1. Aufruf der eigenen Seite mit http
  2. Test von internen Links
  3. Test von externen http-Links auf die eigene Seite
  4. Suche der eigenen Seite in Suchmaschinen, Test der Links dort
  5. Test von Plugins, zum Beispiel Newsletter-Tool und Formularen

Weitere Schritte

URL der eigenen Webseite in Sozialen Medien und Partnerprogrammen ändern. Denn auch hier erzeugt eine verschlüsselte Seite mehr Vertrauen bei Besuchern Ihrer Profilseite.

Fazit: SSL-Zertifikat von Lets Encrypt einbinden lief leicht und komplikationsfrei

Ich habe die Umstellung auf die https-Verschlüsselung lange Zeit vor mir hergeschoben, da ich Sorge hatte, dass es kompliziert würde und meine Blogs in Suchmaschinen möglicherweise schlechter gelistet werde. Beides war nicht der Fall.

Für eine Domain hat die Umstellung etwa 15 Minuten gedauert, in einem Fall mit dem Fehler etwa 40 Minuten. Der abschließende Test aller Links und die Umstellung auf den Profilen meiner Partnerprogramme und Sozialen Medien nochmals je Blog 15 Minuten.

Weitere Links

Ich habe mich bei der Umstellung an die Schritte dieser Anleitung von Daniel Hüsken gehalten, vielen Dank dafür.

Was ist eigentlich ein SSL-Zertifikat? Artikel auf t3n

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.