Mit in Kraft treten der Datenschutz-Grundverordnung (DSGVO, am 25. Mai 2018) rückt auch das Thema SSL stark in den Vordergrund. Manche reden sogar von „Pflicht“ zur Verschlüsselung. Was ist da dran? Was ist jetzt zu tun?
Muss oder soll man SSL (https) haben?
SSL - in der Adresse der Webseite mit https:// beginnend und mit einem Schloss-Symbol erkennbar – bedeutet, dass die Übertragung verschlüsselt erfolgt. Oft hört man auch „sicher“, gemeint ist damit aber nur abhörsicher; sichere Seiten können genauso gehackt und virenverseucht sein, das hat damit nichts zu tun.
Nun mag man sich fragen, warum eine Webseite verschlüsselt übertragen werden soll, wenn sie ohnehin für alle sichtbar im Internet zu finden ist, zumal SSL ja auch mit Kosten und Nachteilen verbunden ist. Das ist wahrlich keine dumme Frage, und auch der Grund, warum sich SSL nur zögerlich durchsetzt.
Mittlerweile ändern sich die Zeiten aber etwas.
Was sich ändert
DSGVO: Es ist noch nicht ganz klar, ob Rückmeldungen eines Nutzers – etwa per Kontaktformular – ausschließlich über https erfolgen müssen. Wichtig dabei zu wissen: Es ist unerheblich, ob jemand das Formular tatsächlich nutzt – die technische Möglichkeit reicht schon aus.
Ganz besonders gilt das dann, wenn es Eingabefelder für – im weitesten Sinne - „sensible“ Daten gibt: Adresse, Beruf, Familienstand usw. Heikle Daten wie Kreditkartennummern usw sind ohnehin ein No-Go ohne https.
Es ist zwar unwahrscheinlich, dass nach dem 25. Mai hunderttausende Homepage-Inhaber ins Gefängnis müssen ;-) dennoch ist etwas Vorsicht geboten.
Mögliche Problemquellen sind zB verärgerte Kunden oder (Ex)Mitarbeiter, die hier den Hebel ansetzen.
Browser-Warnungen
Immer mehr Browser gehen dazu über, nicht verschlüsselte Seiten in irgendeiner Form als „böse“ zu markieren, speziell eben dann, wenn es Formulare gibt. Nutzer werden gewarnt, etwas in die Formulare einzugeben.
Wenn Sie von funktionierenden Bestell- oder Kontaktformularen abhängig sind und diese nicht einfach durch eine eMail-Adresse ersetzen können, sollten Sie bald auf SLL umsteigen.
Wie bekomme ich SSL? Was kostet das?
Zuständig ist der Provider/Hoster, bei dem Ihre Website liegt. Zb: AKIS, Jeff.at, Hostprofis, World4You, um nur einige zu nennen. Dieser richtet das ein und verrechnet das.
In jedem Fall ist mit Mehrkosten von ab € 50,- / Jahr zusätzlich zu rechnen. Das eigentliche Zertifikat kann gratis mit dabei sein, es kann aber auch etwa € 100,- extra für 2 Jahre kosten.
Update 2020: DIe Preise sind - dank LetsEncrypt - drastisch in RIchtung 0 gefallen.
Der Unterschied ist, dass manche ältere Browser die Gratis-Zertifikate nicht akzeptieren und eine furchterregende Fehlermeldung ausspucken, die sogar den Besuch Ihrer Website unmöglich macht.
Danach – wenn SSL eingerichtet ist – müssen wir noch ein paar unsichtbare technische Kleinigkeiten an Ihrer Website ändern, damit die Neuerung vollständig ist. Das ist normalerweise gratis.
Sonstiges
Suchmaschinen: Man hört oft, dass Google „sichere“ Websites bevorzugt. Tatsächlich gibt es hier Wunsch- und Absichtserklärungen einiger Google-Mitarbeiter, offiziell ist noch nichts. Wir haben nach einer Umstellung noch nie einen auffallenden Besucheransturm wegen besserem Ranking erlebt und auf „was wäre gewesen wenn“ geben wir wenig. Sollten wir tatsächlich eine Änderung feststellen, werden wir reagieren.
Datenschutz: Es geht nicht nur darum, dass Formular-Daten verschlüsselt übertragen werden, sondern dass Seitenbesucher insgesamt nicht mehr so einfach beschnüffelt werden – von großen Konzernen, die mehr oder weniger heimlich alles an sich raffen.
Amazon muss nicht wissen, dass sich jemand auf Ihrer Website über Ihr Angebot informiert hat – um ein Häusereck weiter gleich eigene Angebote dazu zu unterbreiten. Und auch Google soll Ihren Kunden nicht die Seiten der Konkurrenz vorschlagen.
Gefahren/Risiken/Panikattacken: Yo: In den diversen Internet-Foren gackern die Hühner derzeit in höchster Erregung – und das Huhn, das die grauslichste Meldung verbreitet, hat die meisten Leser und Reaktionen.
Vieles in der DSGVO mag seltsam sein, das liegt in der insgesamt schwierigen Materie begründet. An so manchen Schlendrian haben wir uns sorglos gewöhnt, da wird jetzt eben eine Drossel eingebaut, wir werden gezwungen, uns damit etwas näher zu befassen. Wer sein Handtuch mit hat, ist schon halbwegs sicher, ansonsten gilt: DONT PANIC!
Kommentare:
"zumal SSL ja auch mit Kosten und Nachteilen verbunden ist."
Antworten
Welche genauen Nachteile meint ihr?
Mir fallen keine Nachteile im Bezug auf eine SSL Verschlüsselung ein.
Das Problem ist, dass man in eine https-Seite keine Inhalte über http reinladen kann. Bilder werden zwar toleriert, aber bei iFrames oder irgendwelche JS/CSS/Webfonts ist Schluss, das funktioniert dann nicht mehr.
Antworten
Da man da nicht immer Einfluss drauf hat, kann das zum Haare raufen werden.
Ein konkretes Beispiel war zb: News von einer Website A wurden per Json auf Website B eingebunden. Das ging lange problemlos - bis Site B auf SLL umgestellt wurde, Site A aber nicht. Da bekommt man Stress..
Diese Seite hier ist schon etwas älter (DSGVO-Beginn eben); mittlerweile ist die Situation entspannter, weil die Kosten drastisch gesunken sind und zum Glück sehr viele auf SSL umgestiegen sind. Aber: Immer noch können nicht alle umstellen, weil sich gerade kleinere Hoster oft weigern. Ein Wechsel des Hosters ist aber nicht so einfach, wenn da 30 eMail-Adressen dranhängen.