Auswahl des richtigen HTTPS-Zertifikats für Ihre WordPress-Website
Veröffentlicht: 2019-09-27In unserem vorherigen Beitrag WordPress HTTPS, SSL und TLS – ein Leitfaden für Website-Administratoren haben wir erklärt, was HTTPS und all die anderen Fachbegriffe sind und wie es funktioniert. In diesem Artikel besprechen wir HTTPS-Zertifikate, die verschiedenen Möglichkeiten, wie Sie eines für Ihre WordPress-Website erwerben können, und warum Sie für eines bezahlen sollten oder nicht. Lassen Sie uns gleich eintauchen.
Was ist ein HTTPS-Zertifikat?
Bevor wir das Wie und Warum von HTTPS-Zertifikaten besprechen können, müssen wir zunächst besprechen, was ein Zertifikat überhaupt ist. Ein Zertifikat wird verwendet, um:
- den Datenverkehr zwischen dem Webserver und dem Webbrowser verschlüsseln,
- Überprüfen Sie, ob der Webserver, mit dem Sie verbunden sind, tatsächlich derjenige ist, für den er sich ausgibt (ein Mittel zur Identifizierung).
Ein HTTPS-Zertifikat (TLS-Zertifikat) enthält einen kryptografischen Beweis dafür, dass eine Entität, der ein Browser vertraut , für die Identität dieser Website bürgen kann. Diese Entität wird als Zertifizierungsstelle (CA) bezeichnet. CAs spielen eine entscheidende Rolle, wenn es um HTTPS-Zertifikate geht.
Sie können sich eine Zertifizierungsstelle ähnlich wie ein „Passamt“ vorstellen, das Ihre Identität unabhängig überprüft und Ihnen einen „Pass“ (Zertifikat) ausstellt, um Ihre Identität gegenüber anderen nachzuweisen. Damit jedoch jemand (ein Webbrowser) Ihren „Pass“ validieren kann, muss er dem „Passamt“ (Zertifizierungsstelle) vertrauen, das den „Pass“ (das Zertifikat) ausgestellt hat. Ähnlich wie ein Reisepass verfügt ein Zertifikat über eingebaute Sicherheitsmerkmale, die das Spoofing erschweren.
Mit anderen Worten, um Ihre Website über HTTPS bereitzustellen, benötigen Sie eine Zertifizierungsstelle, die Ihnen ein Zertifikat zur Verfügung stellt, das die Identität Ihrer WordPress-Website nachweist (Sie sind, wer Sie vorgeben zu sein).
Verschiedene Arten von HTTPS-Zertifikaten
Auch wenn es nicht sofort offensichtlich ist, gibt es 3 verschiedene Arten von Zertifikaten, die Sie erhalten können:
- Domänenvalidierung (DV)
- Organisationsvalidierung (OV)
- Erweiterte Validierung (EV).
DV-Zertifikate sind mit Abstand die gängigsten Zertifikate. Wenn Sie ein DV-Zertifikat erhalten, sehen Sie die gewohnte Browser-Benutzeroberfläche, die Sie erwarten würden. Beachten Sie, dass dies von Browser zu Browser und sogar von einer Browserversion zur anderen unterschiedlich ist, aber normalerweise sehen Sie ein Vorhängeschloss und manchmal das Wort „sicher“.
OV-Zertifikate sind schwieriger zu erhalten als DV-Zertifikate, da sie mehr Validierung erfordern. Sie werden jedoch selten verwendet. Sie sehen für den Endbenutzer genau gleich aus, bieten keine greifbaren Vorteile gegenüber DV-Zertifikaten und kosten mehr.
Damit bleiben EV-Zertifikate übrig – Extended Validation-Zertifikate sollten einen gründlichen Verifizierungsprozess erfordern, damit eine Organisation eines erhält. Sie sind erheblich teurer und wurden in der Vergangenheit von Browsern in Bezug auf ihre Benutzeroberfläche etwas anders behandelt.
In neueren Versionen von Chrome, Firefox und Safari wurde dieser Indikator jedoch in einen viel weniger auffälligen Bereich verschoben. Dies ist größtenteils darauf zurückzuführen, dass es keine Beweise dafür gibt, dass EV-Zertifikate den Endbenutzern ein nennenswertes Maß an Vertrauen vermitteln. In einigen Fällen kann EV bei den Endbenutzern sogar noch mehr Verwirrung stiften. So sehr, dass die überwiegende Mehrheit der beliebtesten Websites im Internet von EV-Zertifikaten auf DV-Zertifikate umgestellt wird.
Welche Art von Zertifikat benötigen Sie für Ihre WordPress-Website?
Kurz gesagt, Sie möchten ein Domain Validation (DV)-Zertifikat für Ihre WordPress-Website. Es gibt keinen wirklichen Grund, warum Sie ein Extended Validation (EV)-Zertifikat benötigen sollten, insbesondere jetzt, da Browser so ziemlich jeden Vorteil des Besitzes eines Zertifikats zunichte machen (außerdem sind sie auch ziemlich teuer).
Abrufen eines HTTPS-Zertifikats
Traditionell bedeutete der Erhalt eines HTTPS-Zertifikats, dass eine Zertifizierungsstelle (CA) dafür eine jährliche Gebühr zahlen musste. Der Prozess war manuell und ziemlich lästig für Administratoren.
Glücklicherweise begann Mozilla bereits 2012 mit der Arbeit an dem, was als Let's Encrypt bekannt wurde; eine gemeinnützige Zertifizierungsstelle, die von der Internet Security Research Group (ISRG) betrieben wird. Es stellt jedem kostenlos HTTPS-Zertifikate zur Verfügung. Es ist keine Überraschung, dass es in wenigen Monaten zur größten Zertifizierungsstelle im Internet wurde.
Let's Encrypt war nicht nur einfach eine kostenlose CA, sondern auch revolutionär, weil es die erste CA war, die das ACME-Protokoll verwendete. Das ACME-Protokoll ermöglicht eine automatische Zertifikatserneuerung. Dadurch kann Let’s Encrypt Zertifikate mit kürzerer Lebensdauer (90 Tage) erstellen, was sicherer ist. Außerdem müssen sich Systemadministratoren dank Tools wie Certbot keine Gedanken über die Erneuerung ihrer Zertifikate machen.
Einschränkungen für HTTPS-Zertifikate von Let’s Encrypt
Während es online Tausende von Artikeln darüber gibt, wie Sie Let’s Encrypt für Ihre WordPress-Website zum Laufen bringen können, ist es wichtig zu wissen, dass es Fälle geben kann, in denen Sie ihre Zertifikate möglicherweise nicht verwenden können. Dies gilt insbesondere, wenn Sie im Rahmen Ihres Webhosting-Plans für ein HTTPS-Zertifikat bezahlen oder nicht die volle Kontrolle über Ihren Webserver haben.
Prüfen Sie in diesem Fall beim Kundensupport Ihres Hosting-Providers, ob Sie ein Let’s Encrypt-Zertifikat verwenden können, bevor Sie Geld für ein Zertifikat ausgeben. Heutzutage unterstützen die meisten WordPress-Hosting-Dienste Let’s Encrypt-Zertifikate.
Wenn es nicht möglich ist, ein Let's Encrypt-Zertifikat mit Ihrem Hosting-Paket zu verwenden, benötigen Sie möglicherweise entweder ein kommerzielles HTTPS-Zertifikat oder Sie könnten möglicherweise einen Online-WordPress-Firewall / CDN-Dienst verwenden. Die meisten von ihnen bieten kostenlose HTTPS-Zertifikate als Teil ihrer Dienste an.
Stellen Sie Ihr WordPress auf HTTPS ein
Zusätzlich zum Erhalt eines HTTPS-Zertifikats und der Aktivierung von HTTPS auf Ihrem Webserver sollten Sie auch sicherstellen, dass Ihre WordPress-Site auch für HTTPS eingerichtet ist. Während Sie dies ohne die Verwendung von Plugins tun können, ist es für die meisten WordPress-Administratoren wahrscheinlich einfacher, ein beliebtes Plugin wie Really Simple SSL zu verwenden. Mit einem solchen Plugin stellen Sie sicher, dass alle Ihre Links korrekt auf die HTTPS-Version Ihrer Website verweisen.
Es ist auch wichtig zu beachten, dass Suchmaschinen HTTP- und HTTPS-Websites als unterschiedliche Websites behandeln. Daher sollten Sie Ihre HTTPS-Site auch bei der Google Search Console einreichen, sofern Sie dies noch nicht getan haben.
Sind kostenlose HTTPS-Zertifikate wirklich gut?
Viele Besitzer von WordPress-Websites stehen der Verwendung des kostenlosen HTTPS-Zertifikats von Let’s Encrypt immer noch skeptisch gegenüber. Einige sind besorgt darüber, ein Image zu vermitteln, dass sie Sicherheit nicht ernst nehmen, und befürchten daher, Kunden zu verlieren. Einige andere denken, dass kostenlose HTTPS-Zertifikate nicht so gut sind wie die kostenpflichtigen. Ich mache ihnen keinen Vorwurf – kein gutes Produkt / keine gute Dienstleistung gibt es wirklich umsonst. Dies ist jedoch ein anderer Fall.
Let's Encrypt ist für Sie als Benutzer kostenlos, aber kein kostenloses Projekt. Sie können dank Sponsoren wie Google, Facebook, Microsoft, Cisco und vielen anderen kostenlose HTTPS-Zertifikate ausstellen! Nehmen wir also an, dass all diese großen Unternehmen für das HTTPS-Zertifikat Ihrer WordPress-Website bezahlen.
Let's Encrypt ist eine vollwertige Zertifizierungsstelle. Zwischen kostenlosen TLS-Zertifikaten von Let’s Encrypt und einem kostenpflichtigen unterscheidet sich insbesondere in Bezug auf die Verschlüsselungsfunktionen nichts. Allerdings schadet es nicht, für ein HTTPS-Zertifikat zu bezahlen, wenn Sie die Kosten rechtfertigen können.
Macht HTTPS meine Website „sicher“?
Leider ist nichts zu 100 % sicher, und HTTPS ist sicherlich keine Ausnahme von dieser Regel. HTTPS ist nur ein kleiner Teil Ihres WordPress-Website-Sicherheitsprogramms. Es erlaubt:
- Ihre Benutzer können sich sicher mit Ihrer Website verbinden , ohne dass ihre Kommunikation von neugierigen Blicken im selben Netzwerk abgefangen wird.
- hilft bei einem Teil der ständigen Herausforderung, die die Website-Sicherheit ist.
Es ist jedoch keine Wunderwaffe: Obwohl Sie HTTPS zweifellos implementieren und durchsetzen sollten, bedeutet dies nicht, dass Sie mit der Sicherung Ihrer WordPress-Website fertig sind.
Was kann ich noch tun, um sicherzustellen, dass meine WordPress-Website sicher ist?
Es gibt eine Menge, was Sie tun können, um die Sicherheit Ihrer WordPress-Website zu verbessern. Wir empfehlen Ihnen, mit dem Folgenden zu beginnen:
- Verwenden Sie eine WordPress-Firewall,
- Erzwingen Sie strenge WordPress-Passwortrichtlinien,
- Installieren Sie ein Plugin zur Überwachung der Dateiintegrität,
- Führen Sie ein Protokoll aller Änderungen, die auf WordPress passieren,
- Halten Sie den WordPress-Kern, alle Plugins, Themes und Software, die Sie verwenden, auf dem neuesten Stand.