Was ist unbedingt zu beachten, wenn man auf HTTPS umstellen möchte und welche Kosten fallen ggf. an?
- Man sollte sich um ganzheitliche Sicherheit kümmern.
- Man sollte bei dem eigenen PC als Nutzer beginnen, indem man alles aktualisiert und modernisiert sowie Sicherheitshinweise beachtet.
- Als Anbieter im Internet erhöht man dann die Sicherheit dort, indemman alles auf dem Server / dem eigenen Auftritt aktualisiert und modernisiert. So müssen Kontaktformulare mit TLS verarbeitet werden und dürfen auf keinen Fall nur mit offenem Sendmail oder sogar mit völlig ungeschütztem mailto verschickt werden.
- Danach kann man über HTTPS als Anbieter im Internet in aller Ruhe nachdenken.
- Es handelt sich nicht um eine sofort zu erledigende Aufgabe. Aber wenn man die obigen Schritte bereits durchgeführt haben sollte, fällt es deutlich leichter, geht schneller von statten und wird preiswerter. Ferner schont der Stufenplan die eigenen Nerven und die der Nutzer / Kunden.
- Je nach Zielgruppe der Nutzer / Kunden, den auf dem Auftritt angebotenen eigenen Produkten / Dienstleistungen sowie den Sicherheitsansprüchen der Nutzer, wird irgendwann ein Umstieg auf HTTPS erfolgen. Im Zweifel weltweit erzwungen durch HTTP/2.
- Nochmal: Es besteht klein gesetzlicher Zwang. Von niemanden unter Druck setzen lassen.
- Falls mehrere (Teil-) Auftritte bestehen, kann man mit einem (möglichst kleinen und nicht lebenswichtigen) die Umstellung auf HTTPS beginnen und dort wichtige Erfahrungen z.B. mit einem kostenlosen Zertifikat z.B. Let's Encrypt) sammeln.
- Gleichgültig, was man macht: Ab sofort darauf bestehen, dass jede Neuerung am bestehenden Auftritt HTTPS-fähig und HTTP/2-konform gestaltet werden muss, und dies schriftlich bestätigen lassen.
Kosten der Zertifikate
- Es werden inzwischen eine sehr große Zahl unterschiedlichster Zertifikate angeboten.
- Früher verlangten die Zertifizierungsstellen abschreckend hohe Beträge für das Ausstellen eines Zertifikates.
- In den letzten Jahren sind die Preise deutlich unter Druck geraten und sanken spürbar.
- Vor allem validierte SSL-Zertifikate (EV) kosten allerdings noch immer meist mehrstellige Eurobeträge je Jahr. SSL-Wildcard-Zertifikate können auch schnell über 300 Euro im Jahr kosten. Selbst bis zu 2.000 Euro je Jahr werden vereinzelt verlangt. Hinzu kommen dreistellige Stundensätze des Providers für die Installation. - Wohl gemerkt gilt das alles für je ein Zertifikat für eine Domain (= Internet-Adresse).
- Mehr oder weniger "private" Anbieter sollten prüfen, ob evtl. kostenlose Zertifikate von Let's Encrypt ausreichend sind.
- SSL-Zertifikat mit eigener IP sind z.B. für alte Browser notwendig, die SNI nicht unterstützen. So kommen über Umwege noch weiter Kosten hinzu.
- Die Gültigkeitsdauer des SSL-Zertifikats beträgt zwischen 3 Monaten und 5 Jahren, je nach Zertifikatstyp. D.h. Sie oder Ihr Provider müssen alles regelmäßig wiederholen.
- Um ein (neues) Zertifikat zu installieren, müssen Sie als Anbieter jedoch einen direkten Zugriff auf den eigenen Server besitzen. Ansonsten muss der Provider dies für Sie kostenpflichtig durchführen. Und einfach oder fehlerfrei ist das auch nicht. Hier das Beispiel für den weit verbreiteten Apache-Server.
- Informieren Sie sich deshalb vorher über die exakten Kosten.
- Ferner finden sich inzwischen Instanzen, die ein Zertifikat auch kostenlos und automatisch anbieten, wie z.B. die Internet Security Research Group (ISRG), welche mit Let's Encrypt als Zertifizierungsstelle für kostenlose - aber nur domainvalidierte und nur 3 Monate gültigen - SSL-/TLS-Zertifikate fungiert. Ob Ihr Provider dies bereits anbietet, können Sie der aktuellen Provider-Liste entnehmen.
- Aber selbst, wenn es kostenlos ist, so bedeutet dies nicht umsonst. Sie müssen auf jeden Fall erhebliche Arbeiten dafür an Ihrem Auftritt durchführen, damit er HTTPS-kompatibel wird. Siehe Praxistipps unten.
- Bitte bedenken Sie ferner, dass niemand Ihnen irgendeine rechtliche Garantie über die kostenlosen Zertifikate geben will. Alle Beteiligten weisen im Gegenteil ausdrücklich darauf hin, dass der Dienst ohne jede vorherige Ankündigung eingestellt oder kostenpflichtig werden kann. Allerdings besitzen Sie auch bei den kostenpflichtigen Anbietern keine Gewähr, ob es diesen im kommenden Monat noch gibt, oder ob er seine Preise drastisch anhebt. - Wie bereits mehrfach gesagt: Auch in diesem Punkt bleibt das Internet eine Vertrauensfrage.
- Allerdings sollte man generell keine Panik schüren: Im Zweifel ist ein Auftritt schnell wieder auf kostenloses HTTP (ohne S) zurück- / umgestellt oder ein anderes Zertifikat bei einer anderen Stelle beantragt.
- Bei den begehrten und teuren EV-Zertifikaten kommen je nach Zulassungsstelle allerdings weitere, hohe Anforderungen hinzu:
Außerdem benötigen wir folgenden Nachweis:
bei einer Firma mit Handelsregistereintrag (z.B. GmbH, UG, OHG) nennen Sie uns bitte das Registergericht sowie die Registernummer
bei einer Firma ohne Handelsregistereintrag benötigen wir einen Gewerbenachweis
bei Privatpersonen eine Kopie des Personalausweises
bei einem eingetragenen Verein nennen Sie uns bitte das Registergericht sowie die Registernummer
Bei einer Behörde / Körperschaft des öffentlichen Rechts benötigen wir keinen Nachweis.