Wir haben bereits vor einiger Zeit darüber berichtet, warum SSL-Zertifikate empfehlenswert sind, quasi eine SSL-Pflicht besteht. Zu dem Zeitpunkt stand vor allen Dingen das Thema Suchmaschinenoptimierung (kurz: SEO für Search Engine Optimization) im Vordergrund. Ein SSL-Zertifikat stellt zunächst erstmal nichts anderes dar als eine Verschlüsselung der Verbindung zwischen Server und Web-Client, also einem Browser wie Googles Chrome oder Edge aus dem Hause Microsoft.
Nun gibt es zwei noch konkretere Gründe für die Verwendung einer SSL-Verschlüsselung mindestens via kostenlosem Let’s Encrypt. Der eine Grund lautet – wie schon beim letzten Mal – Google Chrome, nur noch krasser. Der andere Grund ist die von zahlreichen Unternehmen unterschätzte beziehungsweise stiefmütterlich behandelte neue EU-Datenschutzgrundverordnung, welche am 25. Mai dieses Jahres das bisher geltende Bundesdatenschutzgesetz ablöst.
SSL-Pflicht: Google Chrome markiert Seiten als unsicher
Beschäftigen wir uns zunächst mit der Vertiefung der schon bekannten Argumentation. Google hat im Rahmen seiner Suche den Anspruch, Nutzern das beste Suchergebnis zu liefern. Das beste Suchergebnis setzt sich zusammen aus der (vermutlich) passenden Antwort auf die Anfrage des Nutzers, aber auch aus weiteren Komponenten. Dazu gehören beispielsweise die Nutzerfreundlichkeit (User Interface / User Experience), aber auch die Sicherheit der Seite. Nur solche Website-Betreiber, die ihre Nutzer sicher surfen lassen, gelten als vertrauenswürdig. Was vor dem Hintergrund eines Online-Shops schon lange Pflicht sein sollte, setzt Google nun auch für „normale“ Websites um. Mit Chrome 68, Launch-Termin im Juli dieses Jahres, ist es soweit. Laut eigenem Blog werden dann alle nicht SSL-verschlüsselten Seiten als „Nicht sicher“ gekennzeichnet. Die Folgen hier sind klar: Nutzer verlieren das Vertrauen in solche Websites; denkbar ist auch, dass die Leiste im nächsten Schritt gelb oder rot markiert wird, um Nutzer auf das Risiko hinzuweisen. Sinkende Nutzerzahlen sorgen neben dem ohnehin zu erwartenden Down-Ranking für einen weiteren Verlust der Suchmaschinen-Position. Das wiederum bedeutet ganz konkret Besucher- und Umsatzausfall für das eigene Unternehmen.
Ergänzend sei an dieser Stelle noch auf die Relevanz von Chrome hingewiesen: Chrome hat knapp 40 Prozent Marktanteil in Deutschland.
Aufgepasst: SSL-Zertifikat ist nicht gleich SSL-Zertifikat. Es gibt zahlreiche Zertifizierungsstellen, die keinerlei Probleme darstellen. Aufgrund falscher bzw. unerlaubter Zertifizierung wird Google Chrome mit SSL-Zertifikaten von Symantec von vor dem 1. Juni 2016 genauso wie mit nicht gesicherten Websites verfahren.
SSL-Pflicht: EU-DSGVO erfordert bei Datenbübermittlung SSL
Die ab Mai dieses Jahres ausschließlich geltende Datenschutzgrundverordnung zwingt Website-Betreiber ohnehin zur Verwendung von SSL-Zertifikaten. Warum ist das so? Die EU-DSGVO beschäftigt sich mit dem Umgang mit personenbezogenen Daten. Personenbezogene Daten sind beispielsweise IP-Adressen, Namen, Telefonnummern oder E-Mail-Adressen. Bietet die eigene Website also beispielsweise ein Kontakt- oder Bewerbungsformular an, werden automatisch personenbezogene Daten erfasst und versendet.
Diese personenbezogenen Daten müssen zwingend verschlüsselt vom Browser an den Server übertragen werden. Im anderen Fall handeln Website-Betreiber nicht EU-DSGVO-konform und riskieren Abmahnungen und Strafen.
Was können Website-Betreiber tun, um der SSL-Pflicht nachzukommen?
Alle camalot-Kunden, die ihre Website über uns hosten, müssen sich keine Sorgen machen. Die bei uns gehosteten Seiten sind alle SSL-verschlüsselt. Dabei kommen in der Regel DV- oder OV-validierte Zertifikate von GeoTrust sowie Let’s Encrypt zum Einsatz. Seit Anfang dieses Jahres verschlüsseln wir auch Sub-Domains, die wir in der Regel für Entwicklungs-Umgebungen und besonders individuelle Schnittstellen-Lösungen einsetzen, via Let’s Encrypt.
Darüber hinaus haben wir einem Großteil unserer Kunden, die Ihre Websites selbst hosten bzw. hosten lassen SSL-Zertifikate eingerichtet oder zusammen mit den entsprechenden Providern eingerichtet. Alle anderen Kunden und Partner können uns gerne direkt ansprechen und hier Beratung anfordern; SSL-Zertifikate und Let’s Encrypt-Verschlüsselungen einzurichten geht in der Regel sehr schnell und ist teilweise sogar kostenlos möglich.