Umstellung auf SSL – Blog mit SSL absichern

Diese Webseite ist verschlüsselt von Let's Encrypt

Ist es wirklich nötig, dass ich meinen Blog auf SSL umstelle?

Google sagt ja und viele andere ebenfalls. Bei der Verschlüsselung geht es vorallem um Formulareingaben.

Nun ist ein Internettagebuch im technischen Sinne hauptsächlich ein Formular, denn es werden Daten über die direkte Eingabe auf der Webseite – als Formular – erfasst bzw. geändert. Somit ist es durchaus sinnvoll einen Blog mit SSL abzusichern.

Wer sich dazu entschieden hat, hat die Auswahl zwischen den verschiedenen Anbietern. Meist werden bereits durch den Hoster Zertifikate verschiedener Preisklassen angeboten. Für ein kleines Internet-Tagebuch genügt ein preiswertes Zertifikat vom Hoster. Viele Hoster bieten auch das kostenlose Zertifikat von Let’s Encrypt an. Bei einigen Hostern muss man das Zertifikat selbst bestellen und auch selbst einrichten. Wer sich dafür interessiert sollte vorher beim Hoster unverbindlich nach den Möglichkeiten und Kosten nachfragen.

Mein erster Blog mit SSL – das Garten-Tagebuch

Das Garten-Tagebuch muss als Testkandidat herhalten. Zunächst wird das Zertifikat bestellt und anschließend eingerichtet. Je nach Anbieter übernimmt der Hoster auch die Einrichtung komplett. Wenn alles richtig eingestellt ist, ist die Webseite wenig später über https:// erreichbar.

Soweit zu den Vorbereitungen. Der Teufel steckt wie immer im Detail.

Unsicher mit SSL?

Garten.mesuma.de - Unsicher mit SSL?
Garten.mesuma.de – Unsicher mit SSL?

Oben Links in der Browserzeile, dort wo das grüne Schloss die ordnungsgemäße Verschlüsselung der Webseite anzeigen soll, prangt ein gelbes Dreieck mit Ausrufezeichen!

Ausrufezeichen am Blog mit SSL
Ausrufezeichen

Dieses Ausrufezeichen signalisiert, dass die Verschlüssellung nicht vollständig ist und Teile der Seite unverschlüsselt übertragen werden!

Was nun? Und wie findet man heraus welche Teile das sind?

Der einfachste Weg ist im Quelltext nach „http://“ zu suchen. Wer Entwicklertools oder Firebug verwendet erhält weiterführende Informationen in der Console.

Im Gartentagebuch sind schnell die Bilder als Ursache für das Problem gefunden. Diese werden nämlich nach Auswahl in der Medienbibliothek entsprechend den Vorgaben in den Text eingefügt und dort gespeichert, komplett mit http:// …!

Eine Möglichkeit dieses Problem zu beheben wäre die Umschreibung per .htaccess. Im konkretem Fall handelt es sich um eine Installation mit mehreren Blogs, wobei die anderen Blog noch nicht umgestellt wurden. Die .htaccess als Quick and Dirty Lösung fällt also aus.

Wir passen die Daten in der Datenbank an.

Bilder in Beiträgen

UPDATE mywopr_13_posts 
SET post_content = 
REPLACE(post_content, 'http://', 'https://');

Bilder in Kategoriebeschreibungen und Schlagwortbeschreibungen

UPDATE mywopr_13_term_taxonomy 
SET description = 
REPLACE(description, 'http://', 'https://');

In einigen Fällen, muss auch das Template angepasst werden. Dies ist z.B. dann der Fall wenn externe JavaScript und Stylesheet-Dateien ohne https:// eingebunden wurden.

Fertig! Das Garten-Tagebuch ist verschlüsselt!

Gartentagebuch mit SSL
Gartentagebuch mit SSL

Sicherheit ist mehr als SSL

Bitte beachten! Diese Verschlüsselung ist hilfreich, sie schützt die Daten bei der Übertragung und es wird verhindert, das Passwörter abgefangen werden können!
Doch die Seite selbst und der Server sind noch vielen anderen Gefahren ausgesetzt. In Punkto Sicherheit gilt:

Die Kette ist so stark, wie ihr schwächstes Glied.

Wer zu einfache, leicht zu erratende Passwörter verwendet, wer Sicherheitsupdate der CMS-Software und der zugehörigen Erweiterungen vernachlässigt der ist auch mit SSL-Verschlüsselung nicht vor bösen Überraschungen gefeit!