Das http:// Standardprotokoll ist im Prinzip mit einer herkömmlichen Postkarte zu vergleichen. Wer zwischen Absender und Empfänger sitzt, kann prinzipiell den Inhalt der Daten auslesen. Das ist in einigen Bereichen sicherlich nicht besonders dramatisch. Denn wenn jemand wie du gerade diese Seite liest kann ja prinzipiell erstmal nicht so viel passieren.

Blöd wird es spätestens dann, wenn du persönliche Daten auf einer Website eingibst. Zum Beispiel in einem Shop: deine Adresse, Telefonnumer, E-Mailadresse, Bankverbindung oder sogar Kreditkarten-Daten. Oder auch die Eingabe deiner Zugangsdaten in den Admin-Bereich deines WordPress Blogs…

Du merkst schon, diese Daten sollte nunmal nicht jeder sehen!

Zu diesem Zweck gibt es die sogenannten SSL-Zertifikate, welche die Daten zum Versandzeitpunkt verschlüsseln und damit für dritte nicht (oder zumindest nur mit massivem Aufwand) einsehbar werden lassen.

Als Randnotiz ist ggf. wichtig zu wissen, dass ein SSL-Zertifkat jedoch nur für die Verschlüsselung der Daten zum Versandzeitpunkt verschlüsselt. Wie die Daten dann auf der Empfängerseite gesichert werden, ist ein ganz anderes Thema auf das ich jetzt hier aber nicht weiter eingehen möchte – ich wollte es nur ansprechen: ein SSL-Zertifkat ist eben kein Security-Wunderballon, sondern nur ein Teil zur Absicherung sensibler Daten und zwar während der Übertragung.

Signierte SSL-Zertifkate und ihr Ruf

Signierte SSL-Zerifikaten eilt der Ruf vorraus, dass sie teuer sind, die Serverperformance massiv negativ beeinflussen und kompliziert in der Einbindung sind. Das mag sein, dass sie in der Vergangenheit so war.

Inzwischen sind sich aber viele führende Web-Unternehmen und Organisationen einig, dass das http:// Protokoll in weiten Teilen ausgedient hat und im geschäftlichen Alltag durch https:// ersetzt werden sollte und die negativen Punkte werden ausgemerzt – und das ist gut so. Wir versenden Briefe ja schliesslich auch in einem Briefumschlag, der weitestgehend vor neugierigen Blicken schützen soll. Wer das verstanden hat wird auch einwenden wollen, dass dies ja dann kein perfekter Schutz ist (Briefumschläge lassen sich öffnen / SSL Zertifkate knacken) – aber es gibt eigentlich keinen Grund, sensiblere Daten von Haus aus “unverpackt” zu übertragen.

Kosten für ein SSL-Zertifkat

Früher waren SSL-Zertifkate richtig teuer, in den letzten Jahren wurden die Preislisten durchaus nach unten korrigiert und seit Ende 2015 gibt es dank Let’s Encrypt auch kostenfreie signierte SSL-Zertifkate.

Die Erstellung eines signierten, kostenfreien Zertifkates ist eigentlich auch technisch nicht ganz anspruchslos, viele WordPress Webhoster bieten aber inzwischen sehr komfortable SSL Encrypt Wizards an, die die Erstellung des signierten Let’s Encrypt Zertifikats zum Kinderspiel werden lassen. Innerhalb von 4 Monaten nach dem offiziellen Start von Let’s Encrpt wurden bereits über 1.000.000 kostenfreie SSL-Zertifikate erstellt, Tendenz steigend.