Zurück zum Blog

Saynovo-Blog

Brauche ich ein SSL-Zertifikat? Eine klare Antwort für Kleinbetriebe

Brauche ich ein SSL-Zertifikat? Eine klare Antwort für Kleinbetriebe

Brauche ich ein SSL-Zertifikat für meine Unternehmenswebsite?

Wenn Sie ein Klempnerunternehmen, eine Zahnarztpraxis oder ein Massagestudio betreiben, haben Sie Ihr Unternehmen nicht gegründet, um über Verschlüsselung nachzudenken. Wenn also Ihr Web-Profi, Ihre Hosting-Rechnung oder eine beängstigende Browser-Warnung die Frage aufwirft "Brauche ich ein SSL-Zertifikat", wollen Sie eine direkte Antwort, keine Vorlesung.

Hier ist die direkte Antwort: Ja, Sie brauchen eines. Jede Unternehmenswebsite braucht heute ein SSL-Zertifikat, sogar eine einfache fünfseitige Website, die nie eine Zahlung entgegennimmt. Im Folgenden erklären wir, warum das stimmt, wie Sie prüfen, ob Sie bereits eines haben (viele Leute haben eines, ohne es zu wissen), und wie man eines bekommt, ohne einen Spezialisten zu bezahlen.

Was ein SSL-Zertifikat tatsächlich tut

Stellen Sie sich Ihre Website wie Post vor. Ohne ein SSL-Zertifikat reist alles, was ein Besucher an Ihre Website sendet, als Postkarte, die jeder entlang der Route lesen kann. Mit einem SSL-Zertifikat reist dieselbe Information in einem versiegelten Umschlag, den nur Ihre Website öffnen kann.

Das Zertifikat ist eine kleine Datei, die auf dem Server liegt, der Ihre Website hostet. Es erledigt zwei Aufgaben:

  • Es verschlüsselt die Daten, die zwischen dem Browser eines Besuchers und Ihrer Website übertragen werden, damit Passwörter, Telefonnummern und Formulareingaben nicht während des Transports gelesen werden können.
  • Es beweist, dass Ihre Website wirklich Ihre Website ist und nicht eine Fälschung, die eingerichtet wurde, um Ihre Kunden zu täuschen.

Sie werden auch den Begriff TLS sehen. TLS ist einfach die neuere, sicherere Version derselben Technologie. Die Branche sagt noch "SSL" aus Gewohnheit, also wenn ein Host oder ein Plugin SSL sagt, meinen sie fast immer modernes TLS. Lassen Sie sich von den zwei Namen nicht verwirren. Sie zeigen auf das gleiche Schloss.

Wie Sie prüfen, ob Sie bereits eines haben

Bevor Sie irgendetwas kaufen, prüfen Sie, was Sie haben. Das dauert ungefähr zehn Sekunden.

  • Öffnen Sie Ihre Website in einem Browser.
  • Schauen Sie in die Adressleiste. Wenn die Adresse mit "https" beginnt (mit dem s) und keine Warnung angezeigt wird, haben Sie ein funktionierendes Zertifikat.
  • Klicken Sie auf das kleine Schloss oder das Einstellungssymbol neben der Adresse. Der Browser wird sagen, die Verbindung ist sicher, und lässt Sie die Zertifikatsdetails anzeigen.

Wenn Sie stattdessen "Nicht sicher", eine rote Warnung oder eine ganze Seite sehen, die sagt "Ihre Verbindung ist nicht privat", dann haben Sie entweder kein Zertifikat oder eines, das abgelaufen ist. Das ist ein Problem, das es sich lohnt, diese Woche zu beheben, und der Rest dieses Leitfadens deckt das ab.

Eine Anmerkung: Ein Schloss bedeutet, die Verbindung ist verschlüsselt. Es bedeutet nicht, dass das Unternehmen hinter der Website ehrlich ist. Betrüger können auch Zertifikate bekommen. Also ist das Schloss notwendig, aber kein eigenständiger Vertrauensbeweis. Für Ihre eigene Website ist das Vorhandensein des Schlosses genau das, was Sie wollen.

Warum Sie eines brauchen, auch wenn Sie nicht online verkaufen

Der häufigste Mythos ist, dass SSL nur für Shops ist, die Kreditkarten akzeptieren. Das stimmt seit Jahren nicht mehr. Hier sind die Gründe, die für eine normale lokale Unternehmenswebsite gelten.

Browser beschämen jetzt Seiten ohne SSL

Chrome, Safari, Firefox und Edge kennzeichnen alle Seiten ohne Zertifikat als "Nicht sicher". Manche zeigen eine Warnung, bevor der Besucher Ihre Seite überhaupt sehen kann. Ein Hausbesitzer, der nach einer Notfall-Dachreparatur sucht, wird nicht an einem roten Warnbildschirm vorbeikommen. Er wird auf Zurück drücken und Ihren Mitbewerber anrufen.

Es schützt alle Informationen, die ein Besucher eingibt

Sie verkaufen vielleicht nicht online, aber Ihre Website hat wahrscheinlich ein Kontaktformular, eine Angebotsanfrage oder eine Terminbuchung. In dem Moment, in dem ein Besucher seinen Namen, seine Adresse oder seine Telefonnummer eingibt, brauchen diese Daten Schutz. Wenn Sie persönliche Informationen sammeln, auch nur eine E-Mail-Adresse, brauchen Sie ein Zertifikat.

Google verwendet es als Ranking-Signal

Google hat vor Jahren bestätigt, dass HTTPS ein Faktor in Suchrankings ist. Es ist nicht der größte Faktor, aber wenn zwei Dachdecker in der gleichen Stadt sonst gleich sind, hat der sichere einen Vorteil. Eine Website, die als "Nicht sicher" gekennzeichnet ist, kämpft mit einer Hand auf dem Rücken in den Suchergebnissen.

Es hält Sie auf der richtigen Seite der Datenschutzgesetze

Datenschutzgesetze wie die DSGVO in Europa erwarten von Unternehmen, angemessene Schritte zum Schutz der gesammelten Daten zu unternehmen. Verschlüsselung während des Transports ist einer der grundlegendsten dieser Schritte. Ein Zertifikat zu haben ist Teil des Beweises, dass Sie Datenschutz ernst genommen haben.

Eine Website ohne Zertifikat ist nicht nur weniger sicher. Sie sieht für den genauen Kunden defekt aus, den Sie bezahlt haben, auf die Seite zu bringen.

Die Arten von Zertifikaten, in klaren Worten

Beim Einkaufen stoßen Sie auf drei Namen. Für fast jedes lokale Unternehmen zählt nur der erste.

  • Domain Validation (DV). Die Zertifizierungsstelle bestätigt, dass Sie die Domain kontrollieren, dann stellt sie das Zertifikat aus, oft innerhalb von Minuten. Das ist, was die große Mehrheit der kleinen Unternehmensseiten betreibt, und was kostenlose Optionen liefern. Das Schloss sieht identisch aus zu den teuren Arten.
  • Organization Validation (OV). Die Behörde prüft auch, ob Ihr Unternehmen eine echte registrierte Einheit ist. Das dauert ein paar Tage und kostet Geld. Nützlich für einige größere Organisationen, selten notwendig für ein lokales Geschäft.
  • Extended Validation (EV). Die gründlichste Prüfung, die auf Banken und große Unternehmen abzielt. Moderne Browser zeigen nicht mehr den alten grünen Firmennamen in der Leiste, also ist der sichtbare Nutzen für ein kleines Unternehmen nahe null.

Die Kurzversion: Ein kostenloses Domain Validation-Zertifikat gibt Ihren Kunden das gleiche sichere Schloss wie ein Zertifikat, das Hunderte von Euro pro Jahr kostet. Lassen Sie sich von niemandem in ein Unternehmens-Zertifikat hineinverkaufen, das Sie nicht brauchen.

Wie Sie ein Zertifikat bekommen, vom einfachsten zum schwierigsten

Option 1: Sie haben es möglicherweise bereits inbegriffen

Die meisten modernen Website-Baukasten und viele Hosting-Pläne umfassen ein Zertifikat ohne zusätzliche Kosten und schalten es für Sie ein. Wenn Ihre Website bereits https und ein Schloss zeigt, sind Sie fertig. Kaufen Sie kein zweites. Prüfen Sie erst, dann handeln Sie.

Option 2: Kostenlos durch Let's Encrypt

Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die Zertifikate kostenlos und dauerhaft ausstellt. Sie betreibt einen großen Teil des sicheren Webs. Die meisten guten Hosts haben eine Ein-Klick-Schaltfläche, um ein Let's Encrypt-Zertifikat zu aktivieren, und manche machen es automatisch. Der Kompromiss ist, dass diese Zertifikate 90 Tage lang gültig sind und daher häufig erneuert werden müssen. Die gute Nachricht ist, dass die Erneuerung automatisch sein soll. Ihr Host oder Ihre Server-Software erledigt es im Hintergrund, und Sie sehen es nie passieren.

Option 3: Eines von Ihrem Host oder einem Zertifikatsverkäufer kaufen

Wenn Ihr Host keine kostenlose Option anbietet, können Sie ein Zertifikat kaufen, oft als Bündel mit Ihrem Hosting für eine bescheidene jährliche Gebühr. Dieser Weg beinhaltet manchmal das Generieren einer Signieranforderung, das Verifizieren des Eigentums, das Hochladen von Dateien und das Umschalten Ihrer Website auf die Umleitung von http auf https. Das ist für eine technische Person nicht schwer, aber es ist der Schritt, bei dem nicht-technische Betriebsinhaber normalerweise um Hilfe rufen.

Egal welchen Weg Sie nehmen, stellen Sie sicher, dass Ihre Website die alte http-Adresse auf die sichere https-Version umleitet. Andernfalls landen einige Besucher auf der ungeschützten Kopie und sehen die Warnung trotzdem.

Häufige Warnsignale und was sie bedeuten

Einige Meldungen versetzen Betriebsinhaber in Panik. Hier ist, worauf sie normalerweise hinweisen.

  • "Nicht sicher" in der Adressleiste. Kein Zertifikat installiert, oder die Website erzwingt kein https. Beheben Sie es, indem Sie eines installieren oder aktivieren und die Umleitung einschalten.
  • "Ihre Verbindung ist nicht privat" - ganze Seiten-Blockierung. Oft ein abgelaufenes Zertifikat. Weil kostenlose Zertifikate alle 90 Tage erneuert werden, bedeutet das normalerweise, dass eine automatische Erneuerung still fehlgeschlagen ist. Erneuern Sie es und prüfen Sie, ob die automatische Erneuerung eingeschaltet ist.
  • Ein Schloss mit einem kleinen Warndreieck. Normalerweise "Mixed Content" - die Seite ist sicher, lädt aber ein Bild, eine Schrift oder ein Skript über das alte http. Das Aktualisieren dieser Links auf https beseitigt das.
  • Das Zertifikat gilt für den falschen Domainnamen. Das Zertifikat wurde für eine andere Adresse als die ausgestellt, die Besucher eingetippt haben - zum Beispiel die www-Version gegenüber der normalen Version. Es muss beide abdecken.

Nichts davon sind Notfälle, die Sie nicht lösen können, aber eine Website, die wochenlang mit einem roten Warnsignal belassen wird, verliert die ganze Zeit still Kunden.

Also brauche ich ein SSL-Zertifikat, oder ist das übertrieben?

Für die meisten lokalen Betriebsinhaber endet die ehrliche Antwort auf "Brauche ich ein SSL-Zertifikat" mit einer zweiten Frage: Ist bereits eines eingeschaltet? Wenn ja, sind Sie fertig und können für immer aufhören, über Verschlüsselung nachzudenken. Wenn nein, schließt ein kostenloses Zertifikat durch Ihren Host oder Let's Encrypt die Lücke, normalerweise noch am selben Tag, normalerweise kostenlos.

Die einzige wirkliche Falle ist, für ein teures Unternehmens-Zertifikat zu bezahlen, das Sie nicht brauchen, oder ein kostenloses ablaufen zu lassen, weil niemand die Erneuerung auf automatisch gesetzt hat. Vermeiden Sie diese zwei Fehler und Sie haben das für immer geregelt.

Wo das passt, wenn Sie Ihre Website ohnehin neu aufbauen

Wenn Ihre aktuelle Website alt, langsam ist oder Sicherheitswarnungen anzeigt, ist die sauberste Lösung manchmal nicht, das Zertifikat zu patchen, sondern auf eine Plattform umzuziehen, bei der die Sicherheit für Sie geregelt wird. Das ist eine der Dinge, um die Saynovo herum gebaut wurde. Jede von ihm produzierte Website geht live über https mit dem bereits vorhandenen Zertifikat und erneuert sich von selbst, damit ein beschäftigter Betriebsinhaber nie derjenige ist, der für eine 90-Tage-Uhr verantwortlich ist. Sie beschreiben Änderungen in klarer Sprache und die Website aktualisiert sich, und das Schloss ist einfach immer da.

Das Fazit

Also brauche ich ein SSL-Zertifikat? Ja, Sie brauchen eines. Es schützt die Informationen, die Ihre Kunden Ihnen geben, es hält Browser davon ab, sie zu erschrecken, und es gibt Ihnen einen kleinen Schub in den Suchergebnissen. Die Technologie klingt einschüchternd, aber die praktischen Schritte sind kurz: Prüfen Sie, ob Sie bereits eines haben, aktivieren Sie ein kostenloses Zertifikat, wenn Sie keines haben, zwingen Sie Ihre Website zur Verwendung von https und stellen Sie sicher, dass die Erneuerung automatisch ist. Tun Sie das einmal, und das Schloss kümmert sich selbst.

Empfehlenswerte Quellen:

  • Cloudflare: Was ist ein SSL-Zertifikat?
  • Let's Encrypt: Wie es funktioniert