Aufgrund strenger Datenschutzrichtlinien, die mit der erst kürzlich etablierten Datenschutzverordnung (DSGVO) noch einmal verschärft worden ist, ist eine SSL-Verschlüsselung für Webseiten in Deutschland längst zum Standard avanciert. Für Webmaster, Kunde, Blogger etc. die bis dato noch nicht reagiert haben, wird es nun höchste Eisenbahn.

Dieser Artikel soll eine leicht umzusetzende Übersicht darüber liefern, wie speziell eine TYPO3-Webseite sachgerecht SSL-fit gemacht wird.

Kleine info am Rande: Suchmaschinenoptimierer vermutet schon lange das Google SSL-Verschlüsselung als positives Ranking-Signal wertet. Und diese Vermutung hatGoogle selbst bestätigt(siehe https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html).

Was ist SSL-Verschlüsselung?

Vereinfacht gesagt, ist SSL eine verschlüsselte Kommunikation zwischen dem Server und dem Client.

Kurz zusammengefasst: Warum überhaupt eine SSL-Verschlüsselung?

Die SSL-Verschlüsselung ist im Browser unter anderem durch das „https://“ in der URL-Zeile erkennbar. Somit ist die Verschlüsselung selbst für technisch weniger versierte Nutzer sofort ersichtlich und gewährt Sicherheit darüber, dass alle Daten mit einer Verschlüsselung übertragen werden, deren „Schlüssel“ zur Entschlüsselung vom zuständigen Webmaster gehalten wird. Das verhindert unter anderem, dass die Daten unterwegs in klar lesbarer Form „abgefangen“ werden. Speziell überall da, wo sensible Daten übertragen werden, beispielsweise Zahlungsinformationen oder persönliche Daten in Online Shops, ist diese SSL-Verschlüsselung der Standard. Generell sollten Webseiten aber in ihrer Ganzheit umgestellt werden, um einerseits Datenschutzverordnungen (DSGVO) rechtssicher einzuhalten und andererseits auch gegenüber den Besuchern der Webseite den bewussten Umgang mit Daten zu kommunizieren.

Vorbereitung bei der Umstellung:

Das hierfür notwendige SSL-Zertifikat wird direkt beim eigenen Provider bestellt. Obwohl sich die exakte Konfiguration in ihren Details leicht unterscheiden kann, wird das Zertifikat normalerweise direkt einsatzbereit ausgeliefert, lässt sich folglich auch unmittelbar in die Realität umsetzen. Weil dieses Zertifikat zudem unter einer eigenständigen IP-Adresse läuft, muss unter anderem eine Domain separat auf die neue IP-Adresse umgestellt werden, wenn diese nicht beim gleichen Provider wie die Webseite gehostet wird. In diesem Fall ist das Augenmerk auf den A-Record („www.Beispiel.de“ sowie „Beispiel.de“) zu richten.

Frontend einer TYPO3-Webseite mit SSL-Protokoll verschlüsseln

Zuerst erfolgt die Umstellung vom Frontend auf den https-Standard. Dafür werden folgende Schritte unternommen:

  1. Alle http-Angaben in den genutzten TypoScript-Templates werden zu https geändert. Dazu gehören beispielsweise diverse JavaScript-Templates (unter anderem Google Analytics), externe Ressourcen und baseURL-Angaben.Gerade dann, wenn man Bilder, CSS, JavaScript oder auch Fonts (Schriftarten) in seinem Quellcode integriert hat, sollte man darauf achten, dass alle Ressourcen über HTTPS ausgeliefert werden. Im Quellcode finden sich solche Stellen beispielsweise durch das Link-Tag oder durch ein SRC-JavaScript-Tag – „Seiteneigenschaften->Ressourcen TSConfig. Die Umstellung gewährleistet, dass neu angelegte Unterseiten automatisch auf den https-Standard weiterleiten.
  2.   Zuletzt sollte gewährleistet werden, dass alle Seiten auf „https“ umleiten, auch wenn diese beispielsweise nicht mit dem „www“ aufgerufen werden. Zur Überprüfung wird der Browser-Cache gelöscht und die Webseite selbst aufgerufen.

Merke: Kein Mischen von HTTP und HTTPS da es sonst zu Fehlermeldungen im Browser führen kann

Spezieller Hinweis für TYPO3 v8: Die eben erklärte Anleitung funktioniert mit dieser und nachfolgenden Versionen nicht mehr.
Stattdessen erfolgt die komplette Konfiguration über die „htaccess“ Datei im Root-Verzeichnis. Diese wird um folgenden Code ergänzt:

RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{HTTP_HOST} ^www\.Beispiel\.de$ [NC]
RewriteRule ^(.*)$ https://www.Beispiel.de/$1 [R=301,L]

oder Ihr erzwing die https Umstellung mit

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

finde Ihr auch in meiner Knowledgebase.

Die Überprüfung aus dem vierten Schritt sollte hier aber natürlich ebenso erfolgen!

Backend-Umstellung für SSL in TYPO3

Es wird empfohlen, das Backend analog zum Frontend umzuschalten, ansonsten bleibt das Backend nur dann SSL-verschlüsselt, wenn es auch über die https-URL aufgerufen wird. Ein Aufruf über die http-URL würde stattdessen keine SSL-Verschlüsselung erzwingen. Die simultane Umstellung geht bequem über das Install-Tool, welches unter den Einstellungen hier zu finden ist: „www.xyz.de/typo3/install“.

Die notwendige Konfiguration zur automatischen Umstellung von http zu https wird über All Configuration -> TYPO3_CONF_VARS -> = 2 bewerkstelligt.

Auch im Backend sollte die Umstellung kurz darauf natürlich getestet werden, um eine reibungslose Funktionalität zu gewährleisten.

Wildcard-SSL-Zertifikat nutzen

Wenn du mit Subdomains arbeitest, um den Pagespeed zu erhöhen, solltest du darauf achten, dass dein SSL-Zertifikat ein Wildcard-Zertifikat ist. Dann sind alle URLs nach dem Muster *.beispiel.de unter der SSL valide und verursachen keine Fehlermeldungen. Die Browser-Sicherheitsanzeige zeigt ein grünes Schloss – also »sehr sicher«.

Die Wahl des richtigen Zertifikats

Google hat in einem öffentlichen Blogbeitrag ganz klar definiert, dass die Verschlüsselung mindestens 2.048 Bit betragen muss. Das ist schon eine relativ tiefe, also weitgehende Verschlüsselung, die aber durchaus sinnvoll ist, da die Entschlüsselung für Angreifer sehr komplex und rechenintensiv ist. Sie sollten deshalb bei Ihrem Hosting-Anbieter auf eine 2.048-Bit-Verschlüsselung oder höher bestehen.

Weiterhin gibt es unterschiedliche SSL-Zertifikate mit unterschiedlichen Anmeldeverfahren. Hier sollte man danach entscheiden, wie viel man zu investieren bereit ist.

SSL-Zertifikate lassen sich in drei Varianten einteilen:

  1. Domain-validierte
  2. organisationsvalidierte
  3. Extended-validierte SSL-Zertifikate.

Diese Varianten kann man sich im Detail anschauen aber würde aktuell diesen Blog-Post sprengen und gegebenenfalls in einen separaten Technischen Artikel über das Thema ausführlich beschrieben. Bist du an so einer Technischen Analyse informativen Artikel lasse es mich unten im Kommetarbereich wissen.

Wie erkenne ich, dass die Umstellung der TYPO3-Webseite erfolgreich war?

SSL-Seiten lassen sich beispielsweise über die URL-Zeile identifizieren. Zudem wird in dieser im Chrome Browser zum Beispiel noch ein kleines grünes Schloss vor dem „https“ angeführt, welches eine komplette und funktionierte Verschlüsselung mit dem SSL-Protokoll garantiert. Sollten wie oben erwähnt nicht alle Elemente restlos umgestellt worden sein, kann das dazu führen, dass der Browser einen Warnhinweis ausgibt oder ein kleines Ausrufezeichen beziehungsweise Warndreieck statt dem grünen Schloss erscheint. In diesem Fall sollten die Schritte gegebenenfalls noch einmal wiederholt beziehungsweise nachgeprüft werden, insbesondere mit Hinblick auf ausgelagerte CSS- oder JavaScript-Dateien.

Selbst kleinere Elemente, an die mitunter nicht sofort gedacht wird, können Warnhinweise bezüglich einer unvollständigen SSL-Verschlüsselung hervorrufen. Als beliebtes Beispiel werden an dieser Stelle immer importierte Google-Schriftarten über den Google-API genannt, welche ebenfalls die Erweiterung „https“ statt „http“ bekommen müssen. Hat alles einwandfrei geklappt, wird die Seite mit der https-URL bald auch schon in den Google-SERPs entsprechend gelistet werden.

Tipp:

Ich benutze das Tool screamingfrog (https://www.screamingfrog.co.uk/seo-spider/#spider-features) es kann in der Kostenlosen Version bis zu 500 Seiten Crawlen und zeigt dir an ob du noch Seiten via http aufrufst.

 

Unsicher, Hilfe vom Fachmann oder komplettes Webseiten-Konzept?

Für alle, die sich der Umstellung nicht ganz sicher sind oder lieber auf Rat und Tat vom Fachmann vertrauen, bieten ich euch Hilfestellung natürlich auch als Dienstleistung an. Weiterhin stellen ich sicher, dass alle neu konzipierten und realisierten Webseiten automatisch entsprechend über das SSL-Protokoll abgesichert werden, um nicht nur zukunftssicher zu sein, sondern spätere Umstellungen auch obsolet zu gestalten.