Wir sind nun Schlossbesitzer – WordPress mittels LetsEncrypt Zertifikat auf https umstellen

Nun war es soweit, es war Zeit Taste-Of-It.de von HTTP auf HTTPS umzustellen. Unser Provider hatte umfangreiche Umstellungen in der Serverlandschaft und im Control Panel, sodass dieser Schritt recht einfach war.

Wir sind nun Schloss besitzer und das im Grünen 🙂

Nachfolgend ein paar Fakten zu HTTPS und ich beschreibe wie ich diesen WordPress Blog von http:// auf https:// umgestellt habe. Für Taste war es relativ einfach, aber dazu gleich mehr.

Warum HTTPS (“Hypertext Transport Secure”) ?

Das Thema ist spätestens seit Edward Snowden und dessen Folgen ein Thema. Es geht primär um Sicherheit. Was für Webshops im E-Commerce und oft auch bei Firmenseiten als Pflicht galt ist nun eigentlich für jede Webseite ein Must-Have. Im Gegensatz zu HTTP, werden bei der Übertragung von Daten von und zur Webseite diese verschlüsselt. Damit dies passiert werden die Daten mittels SSL-Zertifikat bzw. deren Weiterentwicklung TLS (Transport Layer Security) sicher verschlüsselt übertragen. HTTPS ist her das entsprechende Protokoll in in der Adresszeile des Browser erkennbar. Zertifikate stellen hierbei die Authentizität der Anfragen sicher.

Aber nicht nur die Sicherheit ist ein Thema. Seit letztem Jahr gewichten Suchmaschinen wie Google oder BING Webseiten die mittels HTTPS aufgerufen werden höher. Deine Webseite landet also weiter vorne, was grade bei Webshops ein wichtiger Punkt ist. Weiterhin bemängeln auf Grund dieser Änderungen viele Browser (Internet Explorer, Firefox, Chrome) Webseiten die “nur” mit HTTP aufgerufen werden. Zum Teil werden sogar deutliche Warnungen und Hinweise darauf ausgegeben. Diese können bei nicht so versierten Internet-Usern schnell zum schließen der Seite führen und das wollen wir ja nicht. Ob eine Seite mittels HTTPS aufgerufen wurde, sieht man in der Adresszeile, zudem wird durch ein Schloss angezeigt, ob das eingesetzte Zertifikat sowie die Inhalte auf der Seite vertrauenswürdig sind.

HTTPS grünes Schloss

Ein grünes Schloss zeigt an das die Seite als sicher eingestuft wird und dem Zertifikat vertraut wird.

HTTPS graues Schloss mit rotem Strich

Ein graues Schloss mit einem roten Strich, zeigt im Firefox an, dass die Seite unsichere Elemente enthält und Firefox dieser nicht vertraut und als unsischer einstuft.

HTTPS graues Schloss mit gelben Warndreieck

Ein graues Schloss mit gelben Warndreick, zeigt das die Seite unsichere Elemenet enthält, sie aber als grundlegend sicher eingestuft wird.

Vorteile von HTTPS

• Datenschutz und mehr Sicherheit für Betreiber und Besucher
• Datendiebstahl und Datenmissbrauch wird minimiert
• Rankingfaktor bei den Suchmaschinen positiver bewertet
• HTTP/2 zur Performanceverbesesrung ist einsetzbar
• Vertrauen durch Kenntlichmachung, wie dem grünen Schloss, von HTTPS Seiten bei Besuchern

Frühen waren Zertifikate recht teuer, zum Teil über 100 Euro im Jahr, seit dem es Zertifizierungsstellen wie StartSSL oder Let’s Encrypt gibt, kostet ein Zertifikat jedoch nichts mehr und lässt sich zudem recht einfach einrichten. Da wir von Purwin-IT gehostet und gesponsert werden, ist die Einrichtung mit wenigen Klicks getan. Mehr Aufwand hingegen ist die Umstellung eines Blogs oder Webseite.

Nachteile von HTTPS

Wo Licht ist auch Schatte.

• einige Proxies können https gar nicht oder nur unvollständig laden
• geringer Mehraufwand zum betreiben der Seite mit HTTPS
• ggf. langsamere laden der Seite -> Hoster wechseln 🙂
• ggf. Zusatzkosten für kostenpflichtige Zertifikate

WordPress umstellen auf HTTPS

• Zertifikat für den Blog kaufen oder kostenlos erwerben und aktivieren, was bei den meisten Hostern mit wenigen Klicks getan ist
• Hoster muss mod_ssl für den Apache z.B. aktiviert haben
• in WordPress unter Einstellung -> Allgemein folgende Links ändern:
  • WordPress-Adresse (URL)
  • Website-Adresse (URL)
• beides von http:// auf https:// abändern
• nun noch alle Aufrufe auf HTTPS umleiten
  • entweder über das Control Panel des Hosters oder aber z.B. in der .htaccess Datei im Webverzeichnis mittels 301-Redirect Rewrite Regel:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

Das war es im Grunde schon und das Schloss ist grün. Allerdings ist nicht jeder Block gleich und einige recht umfangreich. Daher noch ein paar Tipps:

• interne Links müssen ebenso von http auf https geändert werden
• Links zu Medien wie Bildern und Videos ebenso von http auf https ändern
• Plugins kontrollieren, da hier ggf. auch Links mit HTTP hinterlegt sind
• Cache ggf. in eingesetzten Plugins umstellen / leeren
• Bing Ads, Google Webmaster Tools, Google Analytics  und Seach Console auf https umstellen
• neue Sitemap (HTML und XML) erstellen
• Template prüfen, da hier ggf. CSS, JS oder auch Google Fonds mittels HTTP aufgerufen werden
• Zertifikate rechtzeitig erneuern, Let’s Encrypt läuft nur 90 Tage und kann bzw. wird automatisch 30 Tage vorher erneuert
• abschließend Ranking in den nächsten Wochen beobachten…

Seite mit grauem Schloss und gemischten Inhalten

Ich hatte das graue Schloss mit gelben Warndreieck oben erwähnt und auch Taste traf das es.

Kurz mein Ansatz dies zu lösen, bzw. den Inhalt zu finden, der immer noch mit http:// eingebunden war. Hierfür habe ich den Chrome Browser verwendet, war grade zur Hand und dort über die Entwicklertools (STRG+Shift+I) unter Security / Sicherheit geschaut:

Dort auf “View requests in Network Panel” geklickt, die Seite neugeladen und schon wurden mir 2 Logos angezeigt die dies verursacht haben, dessen URL habe ich dann entsprechend von http:// in https:// geändert und alles war gut.

Das Thema ist selbstverständlich noch viel tiefgreifender und von daher: Have Fun …