SSL und TLS sind kryptografische Protokolle, die Datenübertragungen im Internet verschlüsseln und sicherstellen, dass Besucher tatsächlich mit dem richtigen Server verbunden sind und nicht mit einem Angreifer dazwischen.
Was bedeutet das?
Wenn Sie eine Website über HTTPS aufrufen, wird die Verbindung zwischen Ihrem Browser und dem Webserver verschlüsselt. Ohne diese Verschlüsselung wären alle übertragenen Daten, einschließlich Passwörter, Formulareingaben und Zahlungsdaten, im Klartext übertragbar und für Dritte im gleichen Netzwerk lesbar. Das Protokoll, das diese Verschlüsselung heute leistet, heißt TLS (Transport Layer Security). Der Begriff SSL (Secure Sockets Layer) stammt aus den 1990er Jahren und ist technisch überholt: SSL 3.0, die letzte SSL-Version von 1996, gilt als unsicher und wird von modernen Browsern abgelehnt. In der Praxis meinen die meisten Menschen mit „SSL-Zertifikat“ ein TLS-Zertifikat. Der aktuelle Standard ist TLS 1.3.
Ein TLS-Zertifikat erfüllt zwei Aufgaben. Es verschlüsselt die Verbindung, sodass übertragene Daten für Dritte unlesbar sind. Gleichzeitig bestätigt es die Identität des Servers durch eine digitale Signatur einer Zertifizierungsstelle (Certificate Authority, CA). Besucher erkennen eine gesicherte Verbindung am Schloss-Symbol in der Browser-Adressleiste. Fehlt das Zertifikat oder ist es abgelaufen, zeigen alle modernen Browser eine Warnseite, die Besucher in der Regel abschreckt.
Seit 2016 empfiehlt WordPress HTTPS für alle Installationen ausdrücklich, seit 2021 setzt WordPress 5.7 HTTPS als Standard-Protokoll für neue Installationen voraus. Kostenlose Zertifikate von Let’s Encrypt haben HTTPS für alle Websites zugänglich gemacht. Die meisten modernen Hoster stellen Let’s Encrypt-Zertifikate automatisch aus und erneuern sie alle 90 Tage ohne manuellen Eingriff.
Beispiel aus der Praxis
Sie migrieren eine WordPress-Website von HTTP auf HTTPS. Nach dem Ausstellen des Zertifikats zeigt der Browser zwar das Schloss-Symbol, aber einzelne Bilder und Stylesheets werden noch über HTTP geladen. Browser blockieren solche gemischten Inhalte (Mixed Content) oder zeigen ein durchgestrichenes Schloss. Die Ursache sind hartcodierte HTTP-Links in der WordPress-Datenbank, vor allem in der Tabelle wp_options und in Beitrags-Inhalten. Sie beheben das Problem mit dem WordPress-Befehl „wp search-replace http://ihre-domain.de https://ihre-domain.de“ über WP-CLI, der alle Links in der Datenbank auf HTTPS umstellt.
Tipp aus der Praxis
Prüfen Sie das Ablaufdatum Ihres TLS-Zertifikats regelmäßig. Let’s Encrypt-Zertifikate sind 90 Tage gültig und müssen automatisch erneuert werden. Wenn die automatische Erneuerung durch einen Serverfehler oder eine falsch konfigurierte Cron-Aufgabe ausbleibt, läuft das Zertifikat ab und Besucher sehen eine Warnseite. Richten Sie eine Überwachung ein, die Sie per E-Mail oder Nachricht alarmiert, wenn das Zertifikat weniger als 14 Tage gültig ist. Einige Managed-WordPress-Hosting-Anbieter übernehmen die automatische Erneuerung für Sie, sodass Sie diesen Schritt nicht selbst durchführen müssen.
Verwandte Begriffe
- Hosting — der Hoster stellt das TLS-Zertifikat aus und verwaltet die automatische Erneuerung
- Domain — TLS-Zertifikate werden für eine bestimmte Domain oder Subdomain ausgestellt
- DNS — für die Ausstellung eines Zertifikats muss DNS korrekt auf den Server zeigen
- Update — veraltete WordPress-Installationen können HTTPS-Umleitungen falsch behandeln
- FTP — FTP überträgt Daten unverschlüsselt; SFTP ist die sichere Alternative