Eine Einführung in SSL-Zertifikate für WooCommerce

Veröffentlicht: 2015-12-24

Ein Teil des Prozesses zum Starten eines Online-Shops besteht darin, einen Weg zu finden, das Erlebnis für Ihre Käufer zu sichern. Natürlich möchten Sie, dass sich Ihre potenziellen Kunden sicher fühlen und wissen, dass ihre Daten nicht in die falschen Hände geraten.

Wenn Sie neu im E-Commerce sind, haben Sie vielleicht einiges Geschwätz über SSL-Zertifikate oder HTTPS als Teil dieses Sicherheitsprozesses gehört. Und Sie könnten dadurch völlig verwirrt sein. Entspannen Sie sich – das ist normal, und wir können Ihnen helfen.

SSL klingt nach einem komplizierten Thema, aber sobald Sie die Prämisse verstanden haben und wissen, warum Ihr Geschäft es möglicherweise benötigt, brauchen Sie sich keine Gedanken mehr darüber zu machen . Tatsächlich können Sie für die meisten Ladenbesitzer in nur wenigen Minuten ein Zertifikat erhalten, um SSL zu Ihrem Geschäft hinzuzufügen.

Sehen wir uns an, was SSL ist, warum Sie es möglicherweise benötigen und wie Sie ein Zertifikat für Ihr Geschäft erhalten können. Am Ende dieses Beitrags sollte Ihre Verwirrung verschwunden sein und Sie sollten noch besser darauf vorbereitet sein, mit dem Online-Verkauf zu beginnen.

Das SSL-Zertifikat erklärt

Um zu verstehen, was ein SSL-Zertifikat ist und warum Sie eines benötigen, werfen wir zunächst einen kurzen Blick auf die Technologie dahinter.

Eine kurze Lektion über SSL

SSL steht für „Secure Sockets Layer“, obwohl es manchmal auch als „Transport Layer Security“ (oder TLS) bezeichnet wird. SSL an sich ist ein Protokoll, das verwendet wird, um Transaktionen – wenn auch nicht unbedingt finanzielle – zwischen Zielen in einem Netzwerk zu sichern und zu schützen .

SSL ist auf Verschlüsselung angewiesen, um diese Transaktionen privat zu machen. Jede übertragene Nachricht muss eine interne Prüfung auf Integrität dieser Verschlüsselung bestehen, bevor sie erfolgreich ist. Wenn die Prüfung fehlschlägt (aufgrund einer Datenbeschädigung oder eines unerwarteten Versuchs, die Daten zu ändern oder zu erfassen), werden die verschlüsselten Daten nicht offengelegt.

Wir verwenden SSL jeden Tag, wenn wir auf gängigen Websites wie Facebook, YouTube und Online-Shops surfen. Die verwendete Verschlüsselung verhindert, dass böswillige Personen Transaktionen abfangen, die so harmlos sind wie Ihre Suchanfragen … oder so gefährlich wie Ihre Kreditkarteninformationen.

Wie SSL auf Website-Zertifikate angewendet wird

Wenn eine Website ihre Transaktionen sichern möchte, erhält sie ein SSL-Zertifikat für diese Domain. Das SSL-Zertifikat wendet die oben beschriebene Verschlüsselung auf alle Website-Aktivitäten an, einschließlich Seiten- und Formularübermittlungen, Finanztransaktionen usw. Dies verhindert Datendiebstahl oder ähnliche Angriffe.

SSL-Zertifikate enthalten auch wichtige Sicherheitsinformationen , darunter:

  • Name der Firma
  • Firmensitz
  • Zeitraum, für den das Zertifikat gültig ist
  • Angaben zur Behörde, die das Zertifikat ausgestellt hat

Auf diese Weise können Personen, die sich über die Authentizität oder Vertrauenswürdigkeit einer Website nicht sicher sind, auf das grüne „Schloss“-Symbol in ihrem Browser klicken, um weitere Informationen anzuzeigen. Wenn sie sich immer noch nicht sicher fühlen, können sie die Website verlassen.

Ein Beispiel für die Art von Informationen, die Sie sehen können, wenn Sie ein SSL-Zertifikat überprüfen – in diesem Fall Googles Webmaster Central-Blog.
Ein Beispiel für die Art von Informationen, die Sie sehen können, wenn Sie ein SSL-Zertifikat überprüfen – in diesem Fall Googles Webmaster Central-Blog.

So erkennen Sie, ob eine Website SSL/TLS verwendet

Es gibt zwei schnelle Möglichkeiten, um festzustellen, ob eine bestimmte Website über ein SSL-Zertifikat verfügt. Suchen:

  • Ein grünes „Schloss“-Symbol in der Adressleiste und
  • Eine URL, die mit https statt mit http beginnt

Je nachdem, wie die Website SSL verwendet, gilt dies möglicherweise nicht für jede Seite – wie Sie weiter unten erfahren werden.

Wie sich die Verwendung von SSL ändert

Lange Zeit war es der Internet-Standard, dass SSL-Zertifikate nur für Domains oder bestimmte Seiten von Websites empfohlen wurden, wo sensible Informationen (z. B. Finanzdaten) übertragen oder empfangen würden. Diese Empfehlung ändert sich jedoch langsam.

Im August 2014 kündigte Google an, dass die Website-Sicherheit als „leichtes Ranking-Signal“ für Ergebnisse in seiner Suchmaschine hinzugefügt werden würde . Dies bedeutete, dass eine mit SSL/TLS gesicherte Website eine bessere Chance hatte, bei einer Suchanfrage höher zu ranken als eine ungesicherte, vorausgesetzt, alle anderen Faktoren waren gleich.

Aus der Ankündigung:

[W]wir haben Tests durchgeführt, bei denen berücksichtigt wurde, ob Websites sichere, verschlüsselte Verbindungen als Signal in unseren Suchrankingalgorithmen verwenden. Wir haben positive Ergebnisse gesehen, also fangen wir an, HTTPS als Ranking-Signal zu verwenden. Im Moment ist es nur ein sehr leichtes Signal […], während wir Webmastern Zeit geben, auf HTTPS umzusteigen. Aber im Laufe der Zeit werden wir uns vielleicht entscheiden, es zu verstärken, weil wir alle Websitebesitzer ermutigen möchten, von HTTP zu HTTPS zu wechseln, um die Sicherheit aller zu gewährleisten.

Im vergangenen Jahr haben die potenziellen Auswirkungen dieser Änderung viele Website-Eigentümer – nicht nur Ladenbesitzer – dazu veranlasst, ihre Websites mit vollständigen SSL-Zertifikaten zu verschlüsseln und ihre URLs in „https“ statt „http“ zu ändern.

Dies erfordert jedoch nicht, dass jemand seine gesamte Website mit SSL sichert . Wenn sie möchten, können Website- und Ladenbesitzer weiterhin alle ihre sensiblen Seiten auf einer Subdomain platzieren und ein Zertifikat nur für diese Domain erwerben, wobei die restlichen Seiten unverschlüsselt bleiben.

So erkennen Sie, ob Ihr Online-Shop SSL benötigt

Wenn Sie dies alles lesen, könnten Sie davon überzeugt sein, dass Sie ein SSL-Zertifikat benötigen. Schließlich ist Ihnen Sicherheit wichtig, oder?

Wenn Sie jedoch keine sensiblen Daten erfassen oder speichern, benötigen Sie möglicherweise kein Zertifikat . Das mag seltsam klingen, also lassen Sie uns eintauchen.

Das häufigste Szenario, das dazu führt, dass Ladenbesitzer von der Notwendigkeit von SSL befreit sind, ist die Verwendung eines externen Zahlungsabwicklers – zum Beispiel PayPal. Dies liegt daran, dass PayPal für die Erfassung und Speicherung aller sensiblen Zahlungsinformationen Ihrer Kunden verantwortlich ist, sodass diese niemals in Ihrer Datenbank gespeichert werden .

Offsite-Zahlungsabwickler haben ihre eigenen Sicherheitsstandards, Zertifikate und Methoden zur sicheren Übertragung von Daten von und zu Ihrem Geschäft. Daher brauchen Sie SSL nicht unbedingt, weil sie es abgedeckt haben.

Wenn Sie keine vertraulichen Zahlungsinformationen speichern, benötigen Sie möglicherweise kein SSL.
Wenn Sie keine vertraulichen Zahlungsinformationen speichern, benötigen Sie möglicherweise kein SSL.

Ein anderes Szenario ist, wenn Sie Kunden nicht erlauben, Konten oder Anmeldungen mit Kennwörtern jeglicher Art zu erstellen. Selbst wenn Sie ein vollständig externes Zahlungsgateway eines Drittanbieters verwenden, haben Sie möglicherweise immer noch Kunden, die Konten bei Ihnen erstellen, um ihre Liefer- und Rechnungsadressen zu speichern .

Obwohl dies weit weniger sensible Informationen sind, neigen viele Kunden dazu, dasselbe Passwort für jedes Konto zu verwenden. Ein bisschen Reverse Engineering könnte also dazu führen, dass ein Hacker Zugriff auf beispielsweise das E-Mail-Konto, das Bankkonto eines Käufers usw. erhält. Das bedeutet, dass Sie SSL benötigen, um diese Passwörter und Logins zu schützen, es sei denn, die Kontoerstellung ist in Ihrem Shop deaktiviert .

Um es noch einmal zusammenzufassen, die beiden Faktoren, die SSL als Anforderung eliminieren können, sind:

  • Verwendung eines vollständig externen Zahlungsgateways und
  • Absolut keine Konto- oder Passwortfunktion von Kunden erlaubt

Wenn Sie diese beiden Faktoren nicht erfüllen, benötigen Sie ein Zertifikat für Ihr Geschäft. Und selbst wenn Sie dies tun, sollten Sie es angesichts der Möglichkeit, dass HTTPS in Zukunft für Rankings – und die Sicherheit der Kunden – wichtiger wird, in Betracht ziehen.

Benötigen Sie SSL? So erhalten Sie ein Zertifikat (zwei Wege)

Bis vor kurzem bestand die Standardmethode zum Sichern Ihres Shops mit SSL darin, einen Drittanbieter für ein Zertifikat zu bezahlen. Es gibt jetzt jedoch eine andere Option, wie während The State of the Word beim WordCamp US erwähnt wurde.

Hier sind zwei Möglichkeiten, wie Sie Ihr Geschäft sichern und Ihre Kunden glücklich machen können.

Bezahlen für ein Zertifikat

SSL-Zertifikate können von einer Vielzahl von Drittanbietern erworben werden . Viele Domain-Reseller bieten sie ihren Kunden an (manchmal sogar zusammen mit Ihrem Domainnamen), und es gibt auch unabhängige Unternehmen, die nur SSL-Zertifikate verkaufen.

Am besten beginnen Sie mit dem Unternehmen, von dem Sie den Domainnamen Ihres Shops gekauft haben (oder zu kaufen beabsichtigen), um festzustellen, ob es Zertifikate oder irgendeine Art von Bündel anbietet. Wenn nicht, sollte eine einfache Suche mehrere zuverlässige Optionen ergeben.

Überlegen Sie vor dem Kauf sorgfältig, welche Art von Zertifikat Sie benötigen . Basis-SSL-Zertifikate decken nur eine Domain ab – z. example.com oder subdomain.example.com. Sie können aber auch Multi-Domain-Zertifikate oder „Wildcard“-Zertifikate erwerben, um mehrere Subdomains abzudecken (example1.domain.com, example2.domain.com…).

Die Preise für kostenpflichtige Zertifikate liegen in der Regel zwischen 30 und 50 US-Dollar pro Jahr für einzelne Domains und bis zu 300 US-Dollar pro Jahr für Multi-Domain- oder Wildcard-Optionen.

Kostenlose Zertifikate von Let's Encrypt

Die Internet Security Research Group (ISRG) hat derzeit ein Programm namens Let's Encrypt in der öffentlichen Beta-Phase. Let's Encrypt ermöglicht es jedem, seine Website kostenlos mit SSL/TLS zu sichern , wodurch Website- und Ladenbesitzer effektiv ein kostenloses, dauerhaftes SSL-Zertifikat erhalten .

Der Haken: Let's Encrypt ist nicht ganz so einfach wie die Zusammenarbeit mit einem Domain-Registrar, um Ihr Zertifikat zu kaufen und zu installieren. Es ist auch noch in der Beta-Phase, daher sind Fehler möglich. Es ist jedoch immer noch völlig kostenlos und Open Source dazu.

Ein Diagramm von Let's Encrypt, das zeigt, wie ihre Zertifikate funktionieren.
Ein Diagramm von Let's Encrypt, das zeigt, wie ihre Zertifikate funktionieren.

Wenn Sie daran interessiert sind, diesen Weg zu gehen, empfehlen wir, die Let's Encrypt-Dokumentation an Ihren Entwickler zu senden, der das Plugin und den Client ermitteln kann, die Sie für Ihren Server benötigen, und den Zertifikatsinstallationsprozess für Sie übernimmt.

Die Folgen eines fehlenden Zertifikats

Sie fragen sich vielleicht: „Was passiert, wenn ich das alles ignoriere und einfach kein SSL-Zertifikat bekomme?“

Ehrlich gesagt könnte nichts passieren. Aber es könnte auch schlimme Folgen haben, darunter:

  • Käufer verlieren das Vertrauen in Sie, weil Ihr Geschäft ungesichert erscheint
  • Unappetitliche Personen „fälschen“ Ihren Shop, weil es keine Möglichkeit gibt, zu beweisen, dass Sie der wahre Eigentümer oder Hersteller Ihrer Waren sind
  • Ein Hacker, der Reverse Engineering verwendet, um die E-Mail-, Social-Media- oder andere Online-Konten eines Kunden mit Informationen aus Ihrem Geschäft zu kapern
  • Diebstahl sensibler persönlicher oder finanzieller Daten, die auf Ihrem Server gespeichert sind
  • Die öffentliche und potenzielle finanzielle Gegenreaktion, die durch eines der oben genannten Ereignisse verursacht wird

Wie Sie sehen, ist es besser, einfach für ein SSL-Zertifikat zu bezahlen und beruhigt zu sein, als es zu riskieren. Selbst potenzielle Kunden, die Sie wegen dieses fehlenden Schlosssymbols belästigen – und möglicherweise ohne Kauf abbrechen, weil es fehlt – sind die etwa 30 US-Dollar pro Jahr wert, finden Sie nicht?

SSL muss keine komplizierte Angelegenheit sein

Wir hoffen, dass diese Einführung in SSL-Zertifikate für E-Commerce Ihnen geholfen hat, ein bisschen besser zu verstehen, warum Sie möglicherweise ein Zertifikat für Ihren eigenen Online-Shop benötigen – oder nicht.

Mit etwas Glück sollten SSL und Store-Sicherheit für Sie jetzt viel einfacher zu verstehen sein. Aber wenn Sie noch Fragen haben, beantworten wir diese gerne in den Kommentaren unten für Sie! Fragen Sie nach, wir sind immer für Sie da.