SSL-Zer­ti­fi­ka­te gewin­nen immer mehr an Bedeu­tung für Web­sites, für Online-Shops sind sie schon län­ger Stan­dard. Nun soll in die­sem Bei­trag gezeigt wer­den, wie du eine Web­site bzw. ein Blog auf HTTPS umstellst.


Schritt Nr. 1: Ein SSL-Zertifikat erwerben

Bevor du dei­nen Blog auf HTTPS umstellst, benö­tigst du ein Zer­ti­fi­kat. Das kannst du meist bei dei­nem Pro­vi­der kau­fen. So habe ich es jeden­falls gemacht, denn das ist der ein­fachs­te und sichers­te Vor­gang.

Für wel­ches Zer­ti­fi­kat du dich ent­schei­dest, hängt viel­leicht auch von den Kos­ten für dich ab und von der Serio­si­tät und Sicher­heit, die du mit dem SSL-Zer­ti­fi­kat ver­mit­teln willst. Für den Anfang reicht auf jeden Fall eine Domain Vali­da­ti­on aus, denn die­ses Zer­ti­fi­kat soll genau so sicher sein wie ein teu­res mit Exten­ded Vali­da­ti­on. Der Unter­schied liegt haupt­säch­lich in der Iden­ti­täts­prü­fung des Sei­ten- oder Blog­be­trei­bers.

Wei­te­re Infos zu den ein­zel­nen Zer­ti­fi­ka­ten fin­dest du in dem oben ver­link­ten Arti­kel.

Wich­tig: Ach­te beim SSL-Zer­ti­fi­kats­kauf auf eine 256-Bit-Ver­schlüs­se­lung. Wenn du das Zer­ti­fi­kat über dei­nen Pro­vi­der gekauft hast, liegt es auto­ma­tisch auf dei­nem Webs­pace. Alles ande­re wäre mir zu kom­pli­ziert, also selbst das Zer­ti­fi­kat hin­ter­le­gen usw. Wer sich aller­dings für die­se Vor­ge­hens­wei­se inter­es­siert, fin­det im Inter­net auch dazu aus­führ­li­che Infor­ma­tio­nen und Anlei­tun­gen, wie bei­spiels­wei­se auf All​-inkl​.com.

Lässt sich nach dem Zer­ti­fi­kat­s­er­werb dei­ne Domain auch über https:// auf­ru­fen, kannst du die nächs­ten Schrit­te in Angriff neh­men.

Schritt Nr. 2: Die URL in WordPress anpassen

Bevor du nun in das Sys­tem von Wor­d­Press selbst ein­greifst, sprich URLs anpasst und auch Ände­run­gen an der Daten­bank vor­nimmst, soll­test du eine kom­plet­te Siche­rung dei­ner Web­site oder dei­nes Blogs vor­neh­men, also ein Daten- und Daten­bank-Back­up durch­füh­ren.

Lesen  Positionierung: Wie du Kunden magisch anziehst

Denn letzt­end­lich kann immer etwas schief­ge­hen und so kannst du dann auf die Vor­gän­ger­ver­si­on dei­ner Sei­te zurück­grei­fen.

Die URL änderst du im Wor­d­Press-Backend unter dem Punkt Ein­stel­lun­gen -> All­ge­mein. Dort schreibst du in die Fel­der Wor­d­Press-Adres­se (URL) und Web­site-Adres­se (URL) dei­ne Adres­se von http://​www​.mei​ne​-domain​.de in https://​www​.mei​ne​-domain​.de um. Nach dem Abspei­chern die­ser Ände­rung soll­test du dich erneut ins Backend ein­log­gen.

Wie du deinen Blog auf HTTPS umstellst: Anleitung

Schritt Nr. 3: Die URLs in der Datenbank anpassen

Denn was jetzt noch ange­passt wer­den muss, sind die gan­zen Pfa­de auf dei­ner Sei­te, was vor allem die ein­ge­bun­de­nen Bil­der und ande­ren Medi­en betrifft, aber auch die Sei­ten­pfa­de haben sich ja von http zu htt­ps geän­dert. Damit die Sei­te nun rei­bungs­los funk­tio­niert, müs­sen die­se Pfa­de in der Daten­bank umge­schrie­ben wer­den.

Das geht ein­fach, zuver­läs­sig und schnell mit einem Wor­d­Press-Plugin, das Bet­ter Search Replace heißt: Wenn du das Plugin instal­liert hast, fin­dest du sei­ne Ein­stel­lun­gen unter Werk­zeu­ge vor.

Unter Suchen/​Ersetzen gibst du in das ers­te Feld die ursprüng­li­che URL ein, in das zwei­te Feld die neue mit htt­ps. Dann soll­test du noch die gan­zen Tabel­len aus­wäh­len, in denen die URL ange­passt wer­den soll, d. h. mar­kie­re am bes­ten alle Tabel­len. Wenn du vor­sichts­hal­ber einen Test­lauf star­ten willst, die­se Opti­on fin­dest du ganz unten.

Bevor du den Start­but­ton drückst, über­prü­fe noch­mals die URLs, ob sich nicht ein Tipp­feh­ler ein­ge­schli­chen hat, denn das kann schnell vor­kom­men.

Wie du deinen Blog auf HTTPS umstellst: Anleitung

Schritt 4: Weitere Anpassungen vornehmen

Dau­er­haf­te Umlei­tung: Eben­falls wich­tig ist nach Schritt 3 (wenn er erfolg­reich umge­setzt wur­de), dass du in der .htac­cess eine dau­er­haf­te Wei­ter­lei­tung ein­rich­test. Denn du musst beden­ken, dass nun die gan­zen Backlinks, die von dei­ner Web­site exis­tie­ren, nicht mehr rich­tig funk­tio­nie­ren. Die­se Wei­ter­lei­tung wird auch 301 redi­rect genannt.

Lesen  SSL-Zertifikate: Bedeutung und Unterschiede der SSL-Verschlüsselung

In der .htac­cess fügst du ganz am Ende nach dem Ein­trag #End Wor­d­Press ein:

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Cache lee­ren: Wenn du ein Cache-Plugin ver­wen­dest wie bei­spiels­wei­se WP Super­cache, dann soll­test du nun den Cache lee­ren, damit von jetzt an htt­ps-Sei­ten ange­zeigt wer­den und kei­ne http-Sei­te mehr.

Neu­er Ein­trag in Search Con­so­le und Goog­le Ana­ly­tics: Weil Goog­le die Umstel­lung auf htt­ps als “neue” Domain ansieht bzw. zumin­dest zwi­schen http und htt­ps unter­schei­det, soll­test du dei­ne Domain nun auch in die Search Con­so­le und in Goog­le Ana­ly­tics mit der htt­ps-Ände­rung ein­tra­gen, um wei­ter­hin die Ser­vices wie Sei­ten­auf­ru­fe, Klicks und ande­re Daten­er­fas­sun­gen in Anspruch neh­men zu kön­nen.

Lade­ge­schwin­dig­keit: Die­sen Tipp habe ich von einem Bekann­ten erhal­ten. Damit die SSL-ver­schlüs­sel­te Sei­te auch wei­ter­hin recht schnell gela­den wer­den kann, soll­test du die Funk­ti­on con­nec­tion: keep-ali­ve in dei­ne .htac­cess ein­tra­gen.

Vor­her ist aller­dings zu klä­ren, ob dein Pro­vi­der die­se Funk­ti­on bzw. die­ses Modul in dei­nem Webs­pace-Paket anbie­tet. Wenn nicht, kannst du es nicht nut­zen oder musst viel­leicht in ein höhe­res upgraden. Oder es kann sein, dass du die­se Funk­ti­on akti­vie­ren musst.

Oft bie­ten Pro­vi­der die­se Funk­ti­on erst auf dedi­zier­ten Ser­vern an, weil ansons­ten auf einem Ser­ver, den sich vie­le Kun­den tei­len, die Funk­ti­on auch die ande­ren Web­sites beein­flus­sen kann.

Wird die­ses Modul nicht ver­wen­det, baut der Brow­ser beim Auf­ru­fen einer HTT­PS-Web­site für jedes Ele­ment eine neue Ver­bin­dung zum Ser­ver auf, was die Lade­zeit deut­lich in die Höhe trei­ben kann. Mit der Funk­ti­on keep ali­ve wird der Brow­ser dann nur noch eine ver­schlüs­sel­te Ver­bin­dung mit dem Ser­ver auf­bau­en, über die alle Web­site-Ele­men­te her­un­ter­ge­la­den wer­den.

Lesen  Weiterbildung online - Teil 3: Artikel lesen auf informativen Websites und Blogs

Fol­gen­der Code ist in die .htac­cess ein­zu­tra­gen, um die Funk­ti­on zu akti­vie­ren (aber wie gesagt, vor­her mit dem Pro­vi­der klä­ren, ob sie im Leis­tungs­um­fang des Hostings ent­hal­ten ist):

<ifModule mod_headers.c>

Header set Connection keep-alive

</ifModule>

Fazit

Eine HTT­PS-Umstel­lung ist mit Sicher­heit nicht so kom­pli­ziert, wie es auf den ers­ten Blick aus­sieht. Die hier auf­ge­führ­ten ers­ten drei Schrit­te sind obli­ga­to­risch, der letz­te bringt die “Ver­fei­ne­rung”.

Ich ver­mu­te, dass in den nächs­ten Jah­ren eine Ver­schlüs­se­lung immer wesent­li­cher wird für Blog- und Web­site­be­trei­ber, sodass die­ser Schritt für vie­le im Inter­net Täti­gen in den kom­men­den Mona­ten umge­setzt wird. Bei Online-Shops ist ein Zer­ti­fi­kat ohne­hin so gut wie Pflicht, aber die neue EU-Ver­ord­nung in knapp zwei Jah­ren betrifft auch Web­sites. Denn eine der dann gel­ten­den Auf­la­gen lau­tet, dass Unter­neh­men ihre Pro­duk­te daten­schutz­freund­lich vor­ein­stel­len sol­len.

Auch ich habe vor, alle mei­ne Sei­ten in den fol­gen­den Wochen und Mona­ten umzu­stel­len, eine habe ich bis­her auf htt­ps geän­dert, die ande­ren fol­gen. Auch Geld-online-Blog wird über kurz oder lang an die Rei­he kom­men.