Was ist eine SSL Verschlüsselung und welche Rolle spielt diese bei SEO?

Wenn ihr eure Webseite mit einer SSL Verschlüsselung ausstattet wird es möglich, Daten über eine sichere Verbindung vom Browser eurer Besucher zu euren Servern zu versenden.

Das SSL steht dabei für Secure Sockets Layer und ist zum Synonym für die Verschlüsselung von online Datenströmen geworden. Dabei wird das originale SSL Format nicht mehr verwendet. Es wurde durch den neueren und sichereren Transport Layer Security Standard ersetzt.

Zu erkennen ist eine so gesicherte Verbindung über das HTTPS Protokoll. Dieses ist, wie auch das HTTP-Protokoll, ein Kommunikationsprotokoll zur Datenübertragung im Internet. Der Unterschied zwischen HTTPS und HTTP besteht in der verschlüsselten und abhörsicheren Übertragung der Daten mittels TLS.

Merke: HTTPS = HTTP + SSL/TLS

Google ist im August 2014 dazu übergegangen HTTPS als ein Ranking-Faktor zu bestimmen. Setzt eine Website nun ausschließlich auf das HTTPS-Protokoll, so kann sie einen kleinen Bonus bei der Bewertung durch Google erhalten. Dies bedeutet: HTTPS ist lediglich ein schwach gewichteter Ranking-Faktor.

Neben obigem Zuckerbrot hat Google zudem angekündigt in 2017 eine Peitsche, in Form von Google Chrome, auszupacken. Ab der Version 56 des populären Browsers, die voraussichtlich im Januar 2017 veröffentlicht wird, plant Google bei allen HTTP Verbindungen ein „Nicht sicher“ am Anfang der Browserzeile einzublenden.

Nebst dem leichten Ranking Boost ist die SSL Verschlüsselung der Seite aus Sicht der Suchmaschinenoptimierung vorallem daring verankert, dass der Nutzer mehr Vertrauen in die Webseite erlangt und die Datenströme vor Manipulationen, so dass zB keine Werbeströme verändert werden, gesichert sind.

Warum sollte ich meine Webseite verschlüsseln?

Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und von Dritten manipulier- bzw. änderbar.

Dies ist besonders dann ein Problem, wenn sensible Daten an eine Webseite übergeben werden. Hierbei kann es sich um Kreditkartendaten bei einem Webshop handeln, dem Loginnamen und Passwort bei einem Emailprovider oder Forum und den persönlichen Nachrichten bei einem Sozialen Netzwerk, die nur an eine bestimmte Person gerichtet sind.

Sollte ich mich entscheiden über eine unverschlüsselte Verbindung die Nachricht „Hallo Welt“ zu versenden, könnte man dieses Datenpacket auf dem Weg von meinem Browser zum Server auslesen und würde darin „Hallo Welt“ in Textform vorfinden.

Nutze ich hingegen eine verschlüsselte Verbindung, könnte das „Hallo Welt“, bei Betrachtung des Datenpackets, zum Beispiel als „ChRryvbo7r1iaedkdDHEwmp1qYewD+vcoxW39n0yD6g=“ angezeigt werden.

Nur der Server, mit dem ich eine verschlüsselte Verbindung aufgebaut habe, verfügt über der die notwendigen Informationen um aus dem „ChRryvbo7r1iaedkdDHEwmp1qYewD+vcoxW39n0yD6g=“ wieder ein „Hallo Welt“ zu machen.

Wie funktioniert die SSL Verschlüsselung?

Damit ein Browser eine verschlüsselte Verbindung zu einem Server (einer Domain) aufbauen kann, muss der Browser wissen, ob der Server auch zu der Domain gehört, für die er sich ausgibt. Hierzu werden SSL Zertifikate genutzt.

Was ist ein SSL Zertifikat

Bei einem SSL Zertifikat handelt es sich um eine Methode um die Authentizität einer Webseite zu verifizieren. Hierzu muss eine Webseite ein Zertifikat bei einer anerkannten Zertifizierungsstelle beantragen.

Diese Zertifizierungsstellen nennen sich Certification Authorities, oder kurz CA, und erfragen eine Reihe von Informationen des Antragstellers. Wie viele Informationen benötigt werden hängt von dem Umfang des auszustellenden Zertifikats ab.

Nach der Verifizierung der Domain wird bei der CA auch der öffentliche Schlüssel hinterlegt. Mit diesem kryptographischen Schlüssel werden dann die Nachrichten verschleiert. Um die Nachricht wieder in den Ursprungszustand zu verändern wird ein weiterer Schlüssel benötigt, der private Schlüssel. Dieser private Schlüssel ist einzig auf dem verifizierten Server fest installiert und kann die Nachrichten entschlüsseln.

Das wichtige hierbei ist dass eine Nachricht die mit einem öffentlichen Schlüssel enkodiert wurde, nicht mit dem gleichen öffentlichen Schlüssel dekodiert werden kann. Die Anleitung wie eine Nachricht zu verschlüsseln ist kann also frei verfügbar gemacht werden, während die einzige Möglichkeit die verschlüsselte Nachricht wieder zu dekodieren hinter Schloss und Riegel gehalten werden kann.

Die Schlüssel haben unterschiedliche Längen und heutzutage sollte man mindestens einen Schlüssel mit 256 Bit nutzen. Besser sind jedoch noch größere Schlüssel.

Welche verschiedenen SSL Zertifikate gibt es?

Es wird zwischen drei verschiedenen Zertifikatsstufen, mit unterschiedlichen Vertrauensgraden, unterschieden. Der Domain Validierung (Domain Validation oder DV), einer organisationalen Validierung (Organizational Validation oder OV) und einer erweiterten Validierung (Extended Validation oder EV).

Die Domain Validation

Ein DV Zertifikat hat die geringste Vertrauensstufe und validiert nur den Domainnamen. Ich kann damit beweisen, dass eine Anfrage von domain.de wirklich von der Domain domain.de kommt, weitere Informationen werden jedoch nicht abgefragt. Dieser Zertifikatstyp ist auch als low-assurance Zertifikat bekannt.

Die Organizational Validation

Um ein OV Zertifikat zu erlangen, wird nicht nur geprüft, ob man der Inhaber einer Domain ist, sondern es werden zudem Informationen über die Identität und zur Adresse geprüft. Eine Firma muss in diesem Fall nicht nur beweisen, dass ihr die Domain gehört, sondern auch dass es sich um die genannte Firma handelt und deren Standort bestätigen. Dieser Zertifikatstyp ist zudem als high-assurance Zertifikat bekannt.

Die Extended Validation

Für ein EV Zertifikat muss man nicht nur beweisen, dass es die Firma, an dem spezifischen Standort gibt und diese die gewünschte Domain besitzt. Bei diesem Zertifikat wird aktiv geprüft ob es sich um eine registrierte Organisation handelt, die über ein aktives Konto verfügt, mit dem am aktiven Geschäftsverkehr teilgenommen werden kann). Dazu kommt eine Überprüfung, durch die Adresse und Telefonnummer, ob es sich nur um eine Scheinfirma handelt und zuletzt werden noch die Personen geprüft, die das EV Zertifikat beantragen.

Diese Zertifikate sind die umfangreichsten und teuersten, bieten dem Nutzer jedoch auch die größtmögliche Sicherheit. Zudem zeigen moderne Browser bei diesen Zertifikatstyp den Namen der Organisation neben der Browserleiste mit an – in Microsoft Internet Explorer und Edge Browsern wird zudem die komplette Adressezeile grün hinterlegt.

In welchem Umfang können die Zertifikate genutzt werden?

Die meisten Validierungstypen können entweder für einen einzelnen Namen (auch Single Name Zertifikat genannt), für eine komplette Domain (inklusive aller Subdomains, auch Wildcard Zertifikat genannt) oder für mehrere Domains gleichzeitig erstellt werden (auch Multi-Domain Zertifikat genannt).

Single Name Zertifikat

Bei einem Single Name Zertifikat wird nur der spezifische Host verifiziert. Ein Zertifikat für www.domain.de ist damit nur für den www-Host gültig. Gäbe es zB eine shop.domain.de Subdomain, würde diese nicht vom Zertifikat des www-Hosts profitieren.

Ein Single Name Zertifikat kann für Domain Validation, Organizational Validation und Extended Validation genutzt werden.

Wildcard Zertifikat

Das Wildcard (*) Zertifikat ermöglicht es einem Webseitenbetreiber, die Zertifizierung für alle Subdomains einer Domain gleichzeitig zu erreichen. Mit einem Zertifikat für *.domain.de wären sowohl der www.domain.de Host als auch shop.domain.de und blog.domain.de Host validiert.

Wichtig: Ein Wildcard Zertifikat kann nicht zusammen mit der Extended Validation genutzt werden. Nur DV und OV Zertifikate können Wildcard Zertifikate sein.

Multi-Domain Zertifikat

Mit dem Multi-Domain Zertifikat kann man mehrere Domains verifizieren und unter einem Zertifikat zusammenfassen lassen. Mit diesem Typ könnten wir die Domain www.domain.de und auch www.domain.com zusammen validieren. Ein Multi-Domain Zertifikat kann zusammen mit der Extended Validation genutzt werden, wobei die einzelnen Hosts jedoch explizit definiert werden müssen.

Welches Zertifikat benötige ich?

Bei eurem Blog oder eurer persönlichen Webseite kann schon ein Single Name Domain Validation Zertifikat reichen, um die Passwörter der Kommentaroption zu sichern. Gleiches gilt zB für Foren und die dortigen Logins.

Für Eure Firmenwebseite bietet sich ein Organizational Validation Zertifikat an, damit Ihr euren Besuchern das sichere Gefühl geben könnt, dass die Webseite nicht nur den Namen eurer Firma trägt, sondern dieser auch zugeordnet werden kann. Ob ihr ein Wildcard Zertifikat benötigt kommt hierbei ganz darauf an, ob ihr mehrere Hostnamen verwendet oder nicht.

Bei allen Anwendungsfällen in denen sensible Nutzerdaten, wie Personen-, Bank- oder Kreditkartendaten, übermittelt werden (also immer dann wenn ihr etwas über eure Seite verkauft) solltet Ihr in ein Extended Validation Zertifikat investieren. Dieses schützt nicht nur die Nutzerdaten sondern gibt dem Nutzer zusätzliches Vertrauen über die grüne Browserzeile.

Fazit

Jeder Webseitenbetreiber darf selbst entscheiden, wie wichtig die verschlüsselte Kommunikation für die eigene Seite ist. Bei einem Blog ohne Kommentarfunktion wäre es aus sicherheitstechnischer Sicht nicht notwendig die Nutzerdaten per SSL Zertifikat zu verschlüsseln. Verwaltet man sein Blog CMS jedoch über ein Webinterface (zB bei WordPress), dann sollte man alleine wegen der eigenen Logindaten darüber nachdenken die Verbindung wenigstens per Single Name Domain Validation Zertifikat zu verschlüsseln.

Sobald Ihr in den Bereich Ecommerce kommt sollte sicherlich darauf geachtet werden, dass alle notwendigen Seiten, die sensible Daten übertragen, verschlüsselt sind.

Zudem kann ein grünes Schloss vor der Browserzeile, oder sogar der grün hinterlegte Firmenname (bei einem EV Zertifikat), das Vertrauen der Benutzer in die Seite erhöhen. In die gleiche Kerbe schlägt Googles Ankündigung, nicht verschlüsselte, HTTP Verbindungen im Chrome Browser zukünftig als „Nicht sicher“ zu klassifizieren.

Bei allen Vorteilen, welche die Verschlüsselung der eigenen Webseite durch HTTPS bietet, gibt es auch Punkte die vor der Umstellung bedacht und mit einbezogen werden müssen, sowie solche, die nach der Umstellung Beachtung finden sollten. Diese möchten wir euch in unserem Frag SISTRIX Artikel „Worauf muss ich bei der Umstellung auf HTTPS achten?“ näher erläutern.

Related Topics

SEO-Themen von A bis Z