HTTPS- und SSL-Zertifikate: Machen Sie Ihre Website sicher (und warum Sie das tun sollten)

Wenn es darum geht, persönliche Informationen über das Internet zu versenden – seien es Kontaktinformationen, Anmeldeinformationen, Kontoinformationen, Standortinformationen oder alles andere, was missbraucht werden könnte –, ist die Öffentlichkeit im Großen und Ganzen geradezu paranoid gegenüber Hackern und Identitätsdieben. Und das zu Recht. Die Angst, dass Ihre Daten gestohlen, manipuliert oder missbraucht werden könnten, ist alles andere als irrational. Die Schlagzeilen über Leaks und Sicherheitsverstöße der letzten Jahrzehnte beweisen es. Doch trotz dieser Angst loggen sich die Menschen immer wieder ein, um ihre Bankgeschäfte, Einkäufe, Tagebuchführung, Dating, soziale Kontakte und andere persönliche und berufliche Geschäfte im Internet zu erledigen. Und es gibt eine Kleinigkeit, die ihnen das Selbstvertrauen dazu gibt. Ich zeige es dir:

Obwohl nicht alle verstehen, wie es funktioniert, signalisiert das kleine Vorhängeschloss in der Adressleiste Webbenutzern, dass sie über eine vertrauenswürdige Verbindung zu einer legitimen Website verfügen. Wenn Besucher dies nicht in der Adressleiste sehen, wenn sie Ihre Website aufrufen, werden Sie ihr Geschäft nicht erreichen – und sollten es auch nicht tun.

Um das kleine Vorhängeschloss für die Adressleiste für Ihre Website zu erhalten, benötigen Sie ein SSL-Zertifikat. Wie bekommt man eins? Lesen Sie weiter, um es herauszufinden.

Artikelübersicht:

• Was ist SSL/TLS?
• Wie verwende ich HTTPS?
• Was ist ein SSL-Zertifikat und wie bekomme ich eines?
• Einkaufsführer für SSL-Zertifikate
  • Zertifizierungsstelle
  • Domain-Validierung vs. erweiterte Validierung
  • Shared SSL vs. Private SSL
  • Vertrauenssiegel
  • Wildcard-SSL-Zertifikate
  • Garantien
  • Kostenlose SSL-Zertifikate und selbstsignierte SSL-Zertifikate
• Installieren eines SSL-Zertifikats
• Vor- und Nachteile von HTTPS

Was ist SSL/TLS?

Im Web werden Daten mithilfe des Hypertext Transfer Protocol übertragen. Aus diesem Grund steht vor allen Webseiten-URLs „http://“ oder „http : //“.

Was ist der Unterschied zwischen http und https? Dieses zusätzliche kleine S hat große Auswirkungen: Sicherheit.

Lassen Sie mich erklären.

HTTP ist die „Sprache“, die Ihr Computer und der Server verwenden, um miteinander zu kommunizieren. Diese Sprache wird allgemein verstanden, was praktisch ist, aber auch Nachteile hat. Wenn Daten zwischen Ihnen und einem Server über das Internet übertragen werden, legen sie unterwegs einige Zwischenstopps ein, bevor sie ihr endgültiges Ziel erreichen. Dies birgt drei große Risiken:

• Dass jemand Ihr Gespräch belauschen könnte (ähnlich wie bei einem digitalen Abhörgerät).

• Dass jemand auf beiden Seiten eine (oder beide) der Parteien imitieren könnte .

• Dass jemand die übertragenen Nachrichten manipulieren könnte.

Hacker und Idioten nutzen eine Kombination der oben genannten Methoden für eine Reihe von Betrügereien und Raubüberfällen, darunter Phishing-Tricks, Man-in-the-Middle-Angriffe und gute altmodische Werbung. Böswillige Angriffe können so einfach sein wie das Ausspionieren von Facebook-Anmeldedaten durch das Abfangen unverschlüsselter Cookies (Lauschangriffe), sie können aber auch ausgefeilter sein. Sie könnten beispielsweise denken, Sie würden Ihrer Bank sagen: „Bitte überweisen Sie 100 $ an meinen ISP“, aber jemand in der Mitte könnte die Nachricht so ändern, dass sie lautet: „Bitte überweisen Sie 100 $ meines gesamten Geldes an meinen ISP Peggy in Sibirien“ (Datenmanipulation). und Identitätswechsel).

Das sind also die Probleme mit HTTP. Um diese Probleme zu lösen, kann HTTP mit einem Sicherheitsprotokoll überlagert werden, was zu HTTP Secure (HTTPS) führt. Am häufigsten wird das S in HTTPS durch das Secure Sockets Layer (SSL)-Protokoll oder das neuere Transport Layer Security (TLS)-Protokoll bereitgestellt. Bei der Bereitstellung bietet HTTPS bidirektionale Verschlüsselung (um Abhören zu verhindern), Serverauthentifizierung (um Identitätswechsel zu verhindern) und Nachrichtenauthentifizierung (um Datenmanipulation zu verhindern).

So verwenden Sie HTTPS

Wie eine gesprochene Sprache funktioniert HTTPS nur, wenn beide Parteien sich dafür entscheiden, sie zu sprechen. Auf der Clientseite kann die Wahl zur Verwendung von HTTPS getroffen werden, indem „https“ in die Adressleiste des Browsers vor der URL eingegeben wird (z. B. geben Sie statt http://www.facebook.com https://www.facebook ein). .com) oder durch die Installation einer Erweiterung, die automatisch HTTPS erzwingt, wie z. B. HTTPS Everywhere für Firefox und Chrome . Wenn Ihr Webbrowser HTTPS verwendet, sehen Sie ein Vorhängeschlosssymbol, eine grüne Browserleiste, einen Daumen nach oben oder ein anderes beruhigendes Zeichen dafür, dass Ihre Verbindung mit dem Server sicher ist.

Um HTTPS verwenden zu können, muss der Webserver es jedoch unterstützen. Wenn Sie Webmaster sind und Ihren Webbesuchern HTTPS anbieten möchten, benötigen Sie ein SSL-Zertifikat oder TLS-Zertifikat. Wie erhält man ein SSL- oder TLS-Zertifikat? Weiter lesen.

Weiterführende Literatur: Bei einigen beliebten Web-Apps können Sie in Ihren Benutzereinstellungen HTTPS auswählen. Lesen Sie unsere Beiträge auf Facebook , Gmail und Twitter .

Was ist ein SSL-Zertifikat und wie bekomme ich eines?

Um HTTPS nutzen zu können, muss auf Ihrem Webserver ein SSL-Zertifikat oder TLS-Zertifikat installiert sein. Ein SSL-/TLS-Zertifikat ist so etwas wie ein Lichtbildausweis für Ihre Website. Wenn ein Browser, der HTTPS verwendet, auf Ihre Webseite zugreift, führt er einen „Handshake“ durch, bei dem der Client-Computer nach dem SSL-Zertifikat fragt. Das SSL-Zertifikat wird dann von einer vertrauenswürdigen Zertifizierungsstelle (CA) validiert, die überprüft, ob der Server der ist, für den er sich ausgibt. Wenn alles stimmt, erhält Ihr Webbesucher ein beruhigendes grünes Häkchen oder ein Schlosssymbol. Wenn etwas schief geht, erhalten sie vom Webbrowser eine Warnung, dass die Identität des Servers nicht bestätigt werden kann.

Einkaufen für ein SSL-Zertifikat

Wenn Sie ein SSL-Zertifikat auf Ihrer Website installieren möchten, müssen Sie über eine Vielzahl von Parametern entscheiden. Gehen wir das Wichtigste durch:

Zertifizierungsstelle

Die Zertifizierungsstelle (CA) ist das Unternehmen, das Ihr SSL-Zertifikat ausstellt und Ihr Zertifikat jedes Mal validiert, wenn ein Besucher Ihre Website besucht. Während jeder Anbieter von SSL-Zertifikaten hinsichtlich Preis und Funktionen konkurriert, ist das Wichtigste, was bei der Überprüfung von Zertifizierungsstellen berücksichtigt werden muss, ob sie über Zertifikate verfügen, die in den gängigsten Webbrowsern vorinstalliert sind oder nicht. Wenn die Zertifizierungsstelle, die Ihr SSL-Zertifikat ausstellt, nicht auf dieser Liste steht, wird dem Benutzer eine Warnung angezeigt, dass das Sicherheitszertifikat der Site nicht vertrauenswürdig ist. Das bedeutet natürlich nicht, dass Ihre Website illegal ist – es bedeutet nur, dass Ihre CA (noch) nicht auf der Liste steht. Dies ist ein Problem, da sich die meisten Benutzer nicht die Mühe machen, die Warnung zu lesen oder nach der nicht erkannten Zertifizierungsstelle zu suchen. Sie werden wahrscheinlich einfach wegklicken.

Glücklicherweise ist die Liste der vorinstallierten Zertifizierungsstellen in den wichtigsten Browsern recht umfangreich. Es umfasst sowohl einige große Markennamen als auch weniger bekannte und günstigere Zertifizierungsstellen. Bekannte Namen sind Verisign , Go Daddy , Comodo, Thawte, Geotrust und Entrust.

Sie können auch in den Einstellungen Ihres eigenen Browsers nachsehen, welche Zertifizierungsstellen vorinstalliert sind.

• Gehen Sie für Chrome zu Einstellungen –> Erweiterte Einstellungen anzeigen … –> Zertifikate verwalten.
• Für Firefox gehen Sie zu „Optionen“ -> „Erweitert“ -> „Zertifikate anzeigen“.
• Für IE Internetoptionen –> Inhalt –> Zertifikate.
• Gehen Sie für Safari in den Finder, wählen Sie „Gehe zu“ -> „Dienstprogramme“ -> „KeyChain Access“ und klicken Sie auf „System“.

Domain-Validierung vs. erweiterte Validierung

Ein SSL-Zertifikat soll die Identität der Website beweisen, an die Sie Informationen senden. Um sicherzustellen, dass keine gefälschten SSL-Zertifikate für Domänen ausgestellt werden, die sie nicht rechtmäßig kontrollieren, überprüft eine Zertifizierungsstelle, ob die Person, die das Zertifikat anfordert, tatsächlich der Eigentümer des Domänennamens ist. In der Regel erfolgt dies durch eine schnelle Bestätigung per E-Mail oder Telefonanruf, ähnlich wie wenn Ihnen eine Website eine E-Mail mit einem Kontobestätigungslink sendet. Dies wird als domänenvalidiertes SSL-Zertifikat bezeichnet. Dies hat den Vorteil, dass SSL-Zertifikate nahezu sofort ausgestellt werden können. Sie könnten sich wahrscheinlich in kürzerer Zeit als zum Lesen dieses Blogbeitrags ein domänenvalidiertes SSL-Zertifikat besorgen. Mit einem domänenvalidierten SSL-Zertifikat erhalten Sie das Vorhängeschloss und die Möglichkeit, den Datenverkehr Ihrer Website zu verschlüsseln.

Der Vorteil eines domänenvalidierten SSL-Zertifikats besteht darin, dass es schnell, einfach und kostengünstig erhältlich ist. Das ist auch ihr Nachteil. Wie Sie sich vorstellen können, ist es einfacher, ein automatisiertes System zu täuschen, als eines, das von lebenden Menschen betrieben wird. Es ist so, als ob ein High-School-Kind ins DMV käme und sagte, er sei Barack Obama und wollte einen von der Regierung ausgestellten Ausweis bekommen. Die Person an der Rezeption warf einen Blick auf ihn und rief das FBI (oder die Irrenanstalt) an. Aber wenn es ein Roboter wäre, der einen Lichtbildautomaten bedient, hätte er vielleicht Glück. Auf ähnliche Weise können Phisher „gefälschte IDs“ für Websites wie Paypal, Amazon oder Facebook erhalten, indem sie Domain-Validierungssysteme austricksen. Im Jahr 2009 veröffentlichte Dan Kaminsky ein Beispiel für eine Möglichkeit, Zertifizierungsstellen zu betrügen, um Zertifikate zu erhalten, die eine Phishing-Website so aussehen ließen, als handele es sich um eine sichere, legitime Verbindung. Für einen Menschen wäre dieser Betrug leicht zu erkennen. Allerdings fehlten der damaligen automatisierten Domainvalidierung die nötigen Kontrollen, um so etwas zu verhindern.

Als Reaktion auf die Schwachstellen von SSL- und domänenvalidierten SSL-Zertifikaten hat die Branche das Extended Validation -Zertifikat eingeführt. Um ein EV-SSL-Zertifikat zu erhalten, muss sich Ihr Unternehmen oder Ihre Organisation einer strengen Überprüfung unterziehen, um sicherzustellen, dass es bei Ihrer Regierung einen guten Ruf hat und die Domain, die Sie beantragen, rechtmäßig kontrolliert. Diese Kontrollen erfordern unter anderem einen menschlichen Eingriff und dauern daher länger und sind teurer.

In einigen Branchen ist ein EV-Zertifikat erforderlich. Für andere reicht der Nutzen jedoch nur in dem Maße aus, wie Ihre Besucher es erkennen. Für alltägliche Webbesucher ist der Unterschied subtil. Zusätzlich zum Vorhängeschloss-Symbol wird die Adressleiste grün und zeigt den Namen Ihres Unternehmens an. Wenn Sie für weitere Informationen klicken, sehen Sie, dass die Identität des Unternehmens überprüft wurde, nicht nur die der Website.

Hier ist ein Beispiel einer normalen HTTPS-Site:

Und hier ist ein Beispiel einer HTTPS-Site für ein EV-Zertifikat:

Abhängig von Ihrer Branche lohnt sich ein EV-Zertifikat möglicherweise nicht. Außerdem müssen Sie ein Unternehmen oder eine Organisation sein, um eines zu erhalten. Obwohl große Unternehmen einen Trend zur EV-Zertifizierung anstreben, werden Sie feststellen, dass die meisten HTTPS-Sites immer noch die Nicht-EV-Variante aufweisen. Wenn es gut genug für Google, Facebook und Dropbox ist, ist es vielleicht auch gut genug für Sie.

Und noch etwas: Es gibt eine Zwischenlösung, die als organisationsvalidierte oder unternehmensvalidierte Zertifizierung bezeichnet wird. Dies ist eine gründlichere Überprüfung als die automatisierte Domänenvalidierung, geht jedoch nicht so weit, die Branchenvorschriften für ein Extended Validation-Zertifikat zu erfüllen (beachten Sie, dass Extended Validation großgeschrieben wird, „Organisationsvalidierung“ jedoch nicht?). Eine OV- oder unternehmensvalidierte Zertifizierung kostet mehr und dauert länger, Sie erhalten jedoch nicht die grüne Adressleiste und die Informationen zur Identitätsprüfung des Unternehmens. Ehrlich gesagt fällt mir kein Grund ein, für ein OV-Zertifikat zu bezahlen. Wenn Ihnen einer einfällt, klären Sie mich bitte in den Kommentaren auf.

Shared SSL vs. Private SSL

Einige Webhoster bieten einen Shared SSL-Dienst an, der oft günstiger ist als ein privates SSL. Abgesehen vom Preis besteht der Vorteil von Shared SSL darin, dass Sie keine private IP-Adresse oder einen dedizierten Host benötigen. Der Nachteil besteht darin, dass Sie nicht Ihren eigenen Domainnamen verwenden können. Stattdessen sieht der sichere Teil Ihrer Website etwa so aus:

https://www.hostgator.com/~yourdomain/secure.php

Vergleichen Sie das mit einer privaten SSL-Adresse:

https://www.yourdomain.com/secure.php

Für öffentlich zugängliche Websites wie E-Commerce-Websites und Websites sozialer Netzwerke ist dies offensichtlich eine Belastung, da es den Anschein hat, als wären Sie von der Hauptseite weitergeleitet worden. Aber für Bereiche, die normalerweise nicht für die breite Öffentlichkeit sichtbar sind, wie zum Beispiel das Innenleben eines Mailsystems oder einen Administratorbereich, dann könnte ein Shared SSL ein gutes Geschäft sein.

Vertrauenssiegel

Bei vielen Zertifizierungsstellen können Sie ein Vertrauenssiegel auf Ihrer Webseite anbringen, nachdem Sie sich für eines ihrer Zertifikate angemeldet haben. Dadurch erhalten Sie im Wesentlichen die gleichen Informationen wie durch Klicken auf das Vorhängeschloss im Browserfenster, allerdings mit besserer Sichtbarkeit. Das Einfügen eines Vertrauenssiegels ist nicht erforderlich und erhöht auch nicht Ihre Sicherheit. Wenn es Ihren Besuchern jedoch die Gewissheit gibt, wer das SSL-Zertifikat ausgestellt hat, werfen Sie es auf jeden Fall dort hin.

Wildcard-SSL-Zertifikate

Ein SSL-Zertifikat überprüft die Identität einer Domain. Wenn Sie also HTTPS auf mehreren Subdomains haben möchten – z. B. groovypost.com, mail.groovypost.com und forum.groovypost.com – müssen Sie drei verschiedene SSL-Zertifikate kaufen. Ab einem bestimmten Punkt wird ein Wildcard-SSL-Zertifikat wirtschaftlicher. Das heißt, ein Zertifikat deckt eine Domain und alle Subdomains ab, z. B. *.groovypost.com.

Garantien

Unabhängig davon, wie lange der gute Ruf eines Unternehmens besteht, gibt es Schwachstellen. Sogar vertrauenswürdige Zertifizierungsstellen können von Hackern ins Visier genommen werden, wie der Verstoß bei VeriSign im Jahr 2010 beweist, der nicht gemeldet wurde. Darüber hinaus kann der Status einer Zertifizierungsstelle auf der vertrauenswürdigen Liste schnell widerrufen werden, wie wir 2011 bei der DigiNotar-Snafu gesehen haben. Dinge passieren .

Um Bedenken hinsichtlich der Möglichkeit solcher zufälligen SSL-Ausschweifungen zu zerstreuen, bieten viele Zertifizierungsstellen mittlerweile Garantien an. Der Versicherungsschutz reicht von einigen tausend Dollar bis zu über einer Million Dollar und umfasst Verluste, die durch den Missbrauch Ihres Zertifikats oder andere Pannen entstehen. Ich habe keine Ahnung, ob diese Garantien tatsächlich einen Mehrwert schaffen oder nicht und ob jemals jemand einen Anspruch erfolgreich gewonnen hat. Aber sie sind für Ihre Aufmerksamkeit da.

Kostenlose SSL-Zertifikate und selbstsignierte SSL-Zertifikate

Es stehen zwei Arten kostenloser SSL-Zertifikate zur Verfügung. Ein selbstsigniertes SSL-Zertifikat, das hauptsächlich für private Tests und vollständig öffentlich zugängliche SSL-Zertifikate verwendet wird, die von einer gültigen Zertifizierungsstelle ausgestellt wurden. Die gute Nachricht ist, dass es im Jahr 2018 einige Möglichkeiten gibt, 100 % kostenlose, gültige 90-Tage-SSL-Zertifikate zu erhalten, sowohl von SSL for Free als auch von Let's Encrypt . SSL for Free ist in erster Linie eine GUI für die Let's Encrypt API. Der Vorteil der SSL for Free-Site ist, dass sie einfach zu verwenden ist und über eine schöne Benutzeroberfläche verfügt. Let's Encrypt ist jedoch nett, da Sie die Anforderung von SSL-Zertifikaten vollständig automatisieren können. Es ist ideal, wenn Sie SSL-Zertifikate für mehrere Websites/Server benötigen.

Ein selbstsigniertes SSL-Zertifikat ist für immer kostenlos. Mit einem selbstsignierten Zertifikat sind Sie Ihre eigene Zertifizierungsstelle. Da Sie jedoch nicht zu den vertrauenswürdigen Zertifizierungsstellen gehören, die in Webbrowsern integriert sind, erhalten Besucher eine Warnung, dass die Zertifizierungsstelle vom Betriebssystem nicht erkannt wird. Daher gibt es wirklich keine Garantie dafür, dass Sie der sind, für den Sie sich ausgeben (es ist so, als würden Sie sich einen Lichtbildausweis ausstellen und versuchen, ihn im Spirituosengeschäft auszugeben). Der Vorteil eines selbstsignierten SSL-Zertifikats besteht jedoch darin, dass es die Verschlüsselung des Webverkehrs ermöglicht. Es eignet sich möglicherweise für den internen Gebrauch, bei dem Ihre Mitarbeiter Ihre Organisation als vertrauenswürdige Zertifizierungsstelle hinzufügen können, um die Warnmeldung zu entfernen und an einer sicheren Verbindung über das Internet zu arbeiten.

Anweisungen zum Einrichten eines selbstsignierten SSL-Zertifikats finden Sie in der Dokumentation zu OpenSSL. (Oder, wenn genügend Nachfrage besteht, schreibe ich ein Tutorial.)

Installieren eines SSL-Zertifikats

Nachdem Sie Ihr SSL-Zertifikat erworben haben, müssen Sie es auf Ihrer Website installieren. Ein guter Webhoster bietet an, dies für Sie zu tun. Manche gehen vielleicht sogar so weit, es für Sie zu kaufen. Oftmals ist dies der beste Weg, da es die Abrechnung vereinfacht und sicherstellt, dass es richtig für Ihren Webserver eingerichtet ist.

Sie haben jedoch jederzeit die Möglichkeit, ein selbst erworbenes SSL-Zertifikat zu installieren. Wenn Sie dies tun, sollten Sie zunächst die Wissensdatenbank Ihres Webhosts konsultieren oder ein Helpdesk-Ticket eröffnen. Sie werden zu den besten Anweisungen für die Installation Ihres SSL-Zertifikats weitergeleitet. Sie sollten auch die Anweisungen der Zertifizierungsstelle beachten. Diese geben Ihnen eine bessere Orientierung als alle allgemeinen Ratschläge, die ich Ihnen hier geben kann.

Vielleicht möchten Sie auch die folgenden Anweisungen zur Installation eines SSL-Zertifikats lesen:

• So implementieren Sie SSL in IIS (Windows Server)
• Apache SSL/TLS-Verschlüsselung

Alle diese Anweisungen umfassen die Erstellung einer SSL-Zertifikatsignierungsanforderung (CSR). Tatsächlich benötigen Sie lediglich eine CSR, um ein SSL-Zertifikat ausstellen zu lassen. Auch hier kann Ihnen Ihr Webhoster weiterhelfen. Weitere spezifische DIY-Informationen zum Erstellen einer CSR finden Sie in diesem Artikel von DigiCert .

Vor- und Nachteile von HTTPS

Die Vorteile von HTTPS haben wir bereits fest etabliert: Sicherheit, Sicherheit, Sicherheit. Dies verringert nicht nur das Risiko einer Datenschutzverletzung, sondern schafft auch Vertrauen und steigert den Ruf Ihrer Website. Erfahrene Kunden machen sich möglicherweise nicht einmal die Mühe, sich anzumelden, wenn sie auf der Anmeldeseite ein „http://“ sehen.

Es gibt jedoch einige Nachteile von HTTPS. Angesichts der Notwendigkeit von HTTPS für bestimmte Arten von Websites ist es sinnvoller, diese als „Überlegungen“ und nicht als negative Aspekte zu betrachten .

• HTTPS kostet Geld . Zunächst fallen die Kosten für den Kauf und die Erneuerung Ihres SSL-Zertifikats an, um die Gültigkeit von Jahr zu Jahr sicherzustellen. Es gibt aber auch bestimmte „Systemanforderungen“ für HTTPS, wie z. B. eine dedizierte IP-Adresse oder einen dedizierten Hosting-Plan, der teurer sein kann als ein Shared-Hosting-Paket.
• HTTPS kann die Serverantwort verlangsamen. Es gibt zwei Probleme im Zusammenhang mit SSL/TLS, die die Ladegeschwindigkeit Ihrer Seite verlangsamen können. Um zum ersten Mal mit Ihrer Website zu kommunizieren, muss der Browser des Benutzers zunächst den Handshake-Prozess durchlaufen, der zur Website der Zertifizierungsstelle zurückkehrt, um das Zertifikat zu überprüfen. Wenn der Webserver der Zertifizierungsstelle langsam ist, kommt es zu einer Verzögerung beim Laden Ihrer Seite. Dies liegt größtenteils außerhalb Ihrer Kontrolle. Zweitens verwendet HTTPS eine Verschlüsselung, die mehr Rechenleistung erfordert. Dies lässt sich beheben, indem Sie Ihre Inhalte hinsichtlich der Bandbreite optimieren und die Hardware auf Ihrem Server aktualisieren. CloudFare hat einen guten Blog-Beitrag darüber, wie und warum SSL Ihre Website verlangsamen könnte.
• HTTPS kann sich auf SEO-Bemühungen auswirken. Wenn Sie von HTTP zu HTTPS wechseln; Sie ziehen auf eine neue Website um. Beispielsweise wäre http://www.groovypost.com nicht dasselbe wie https://www.groovypost.com . Es ist wichtig, sicherzustellen, dass Sie Ihre alten Links umgeleitet und die richtigen Regeln unter die Haube Ihres Servers geschrieben haben, um den Verlust wertvoller Linkjuice zu vermeiden.
• Gemischter Inhalt kann eine gelbe Flagge auslösen . Wenn Sie bei einigen Browsern den Hauptteil einer Webseite über HTTPS geladen haben, Bilder und andere Elemente (z. B. Stylesheets oder Skripte) jedoch über eine HTTP-URL geladen haben, wird möglicherweise ein Popup mit der Warnung angezeigt, dass die Seite nicht sicheren Inhalt enthält . Sichere Inhalte zu haben ist natürlich besser als gar keine, auch wenn Letzteres nicht zu einem Popup führt. Dennoch kann es sich lohnen, darauf zu achten, dass Ihre Seiten keinen „gemischten Inhalt“ haben.
• Manchmal ist es einfacher, einen Zahlungsabwickler eines Drittanbieters zu beauftragen . Es ist keine Schande, Ihre Zahlungen über Google Checkout, Paypal oder Checkout by Amazon abzuwickeln. Wenn Ihnen das alles zu viel ist, können Sie Ihren Kunden erlauben, Zahlungsinformationen auf der sicheren Website von Paypal oder Google auszutauschen, und sich so die Mühe ersparen.

Haben Sie weitere Fragen oder Anmerkungen zu HTTPS- und SSL-/TLS-Zertifikaten? Lass es mich in den Kommentaren hören.