HTTPS- und SSL-Zertifikate: Machen Sie Ihre Website sicher (und warum Sie sollten)

Wie man

DurchJack Busch

Zuletzt aktualisiert am20. April 2018

Wenn es darum geht, persönliche Informationen über das Internet zu senden - seien es Kontaktinformationen, Anmeldeinformationen, Kontoinformationen, Standortinformationen oder alles andere, was missbraucht werden könnte - die Öffentlichkeit ist im Großen und Ganzen geradezu paranoid gegenüber Hackern und Identität Diebe. Und das zu Recht. Die Befürchtung, dass Ihre Informationen gestohlen, manipuliert oder missbraucht werden könnten, ist alles andere als irrational. Die Schlagzeilen über Lecks und Sicherheitsverletzungen in den letzten Jahrzehnten beweisen dies. Trotz dieser Angst melden sich die Leute immer wieder an, um ihre Bank-, Einkaufs-, Journal-, Dating-, Geselligkeits- und anderen persönlichen und beruflichen Geschäfte im Internet zu erledigen. Und es gibt eine Kleinigkeit, die ihnen das Vertrauen gibt, dies zu tun. Ich werde es Ihnen zeigen:

Obwohl nicht alle verstehen, wie es funktioniert, signalisiert dieses kleine Vorhängeschloss in der Adressleiste den Webbenutzern, dass sie eine vertrauenswürdige Verbindung zu einer legitimen Website haben. Wenn Besucher dies beim Aufrufen Ihrer Website nicht in der Adressleiste sehen, erhalten Sie ihr Geschäft nicht - und sollten es auch nicht.

Um dieses kleine Vorhängeschloss für die Adressleiste für Ihre Website zu erhalten, benötigen Sie ein SSL-Zertifikat. Wie bekommst du einen? Lesen Sie weiter, um es herauszufinden.

Artikelübersicht:

• Was ist SSL / TLS?
• Wie benutzt man HTTPS?
• Was ist ein SSL-Zertifikat und wie bekomme ich eines?
• Einkaufshandbuch für SSL-Zertifikate
• • Zertifizierungsstelle
  • Domain Validation vs. Erweiterte Validierung
  • Shared SSL vs. Privates SSL
  • Vertrauenssiegel
  • Platzhalter-SSL-Zertifikate
  • Garantien
  • Kostenlose SSL-Zertifikate und selbstsignierte SSL-Zertifikate
• Installieren eines SSL-Zertifikats
• Vor- und Nachteile von HTTPS

Was ist SSL / TLS?

Im Web werden Daten mithilfe des Hypertext Transfer Protocol übertragen. Aus diesem Grund haben alle Webseiten-URLs " http://” oder „https://" vor ihnen.

Was ist der Unterschied zwischen http und https? Dieses zusätzliche kleine S hat große Auswirkungen: Sicherheit.

Lassen Sie mich erklären.

HTTP ist die „Sprache“, in der Ihr Computer und der Server miteinander kommunizieren. Diese Sprache wird allgemein verstanden, was praktisch ist, aber auch Nachteile hat. Wenn Daten über das Internet zwischen Ihnen und einem Server übertragen werden, werden auf dem Weg einige Stopps eingelegt, bevor das endgültige Ziel erreicht wird. Dies birgt drei große Risiken:

• Das könnte jemand lauschen auf Ihr Gespräch (eine Art digitales Abhören).

• Das könnte jemand imitieren eine (oder beide) der Parteien an beiden Enden.

• Das könnte jemand manipulieren mit den Nachrichten übertragen.

Hacker und Idioten verwenden eine Kombination der oben genannten Methoden für eine Reihe von Betrügereien und Überfällen, einschließlich Phishing-Tricks, Man-in-the-Middle-Angriffen und guter, altmodischer Werbung. Böswillige Angriffe können so einfach sein wie das Aufspüren von Facebook-Anmeldeinformationen durch Abfangen unverschlüsselter Cookies (Abhören), oder sie können ausgefeilter sein. Sie könnten beispielsweise glauben, Sie hätten Ihrer Bank gesagt: "Bitte überweisen Sie 100 US-Dollar an meinen ISP", aber jemand in der Mitte könnte die Nachricht so ändern, dass sie lautet: "Bitte überweisen." $100mein ganzes Geld zu mein ISPPeggy in Sibirien”(Datenmanipulation und Identitätswechsel).

Das sind also die Probleme mit HTTP. Um diese Probleme zu lösen, kann HTTP mit einem Sicherheitsprotokoll überlagert werden, was zu HTTP Secure (HTTPS) führt. Am häufigsten wird das S in HTTPS vom SSL-Protokoll (Secure Sockets Layer) oder vom neueren TLS-Protokoll (Transport Layer Security) bereitgestellt. Bei der Bereitstellung bietet HTTPS bidirektional Verschlüsselung (um ein Abhören zu verhindern), ServerAuthentifizierung (um Identitätswechsel zu verhindern) und Nachrichtenauthentifizierung (um Datenmanipulationen zu verhindern).

Verwendung von HTTPS

Wie eine gesprochene Sprache funktioniert HTTPS nur, wenn beide Parteien sie sprechen. Auf der Clientseite kann die Wahl zur Verwendung von HTTPS getroffen werden, indem "https" in die Adressleiste des Browsers vor der URL eingegeben wird (z. B. anstatt einzugeben) http://www.facebook.com, Art https://www.facebook.com) oder durch Installieren einer Erweiterung, die HTTPS automatisch erzwingt, z. B. HTTPS Everywhere for Feuerfuchs und Chrom. Wenn Ihr Webbrowser HTTPS verwendet, sehen Sie ein Vorhängeschlosssymbol, eine grüne Browserleiste, Daumen hoch oder ein anderes beruhigendes Zeichen dafür, dass Ihre Verbindung zum Server sicher ist.

Um HTTPS verwenden zu können, muss der Webserver dies jedoch unterstützen. Wenn Sie ein Webmaster sind und Ihren Webbesuchern HTTPS anbieten möchten, benötigen Sie ein SSL-Zertifikat oder ein TLS-Zertifikat. Wie erhalten Sie ein SSL- oder TLS-Zertifikat? Weiter lesen.

Weiterführende Literatur: In einigen gängigen Web-Apps können Sie in Ihren Benutzereinstellungen HTTPS auswählen. Lesen Sie unsere Artikel weiter Facebook, Google Mail, und Twitter.

Was ist ein SSL-Zertifikat und wie bekomme ich eines?

Um HTTPS verwenden zu können, muss auf Ihrem Webserver ein SSL- oder TLS-Zertifikat installiert sein. Ein SSL / TLS-Zertifikat ähnelt einem Lichtbildausweis für Ihre Website. Wenn ein Browser, der HTTPS verwendet, auf Ihre Webseite zugreift, führt er einen "Handshake" durch, bei dem der Clientcomputer nach dem SSL-Zertifikat fragt. Das SSL-Zertifikat wird dann von einer vertrauenswürdigen Zertifizierungsstelle (CA) überprüft, die überprüft, ob der Server der ist, für den er sich ausgibt. Wenn alles ausgecheckt ist, erhält Ihr Webbesucher das beruhigende grüne Häkchen oder das Schlosssymbol. Wenn etwas schief geht, erhalten sie vom Webbrowser eine Warnung, dass die Identität des Servers nicht bestätigt werden konnte.

Einkauf für ein SSL-Zertifikat

Wenn Sie ein SSL-Zertifikat auf Ihrer Website installieren möchten, müssen Sie eine Vielzahl von Parametern festlegen. Lassen Sie uns das Wichtigste durchgehen:

Zertifizierungsstelle

Die Zertifizierungsstelle (CA) ist das Unternehmen, das Ihr SSL-Zertifikat ausstellt und das Ihr Zertifikat jedes Mal überprüft, wenn ein Besucher auf Ihre Website kommt. Während jeder SSL-Zertifikatanbieter in Bezug auf Preis und Funktionen konkurriert, ist dies die Nummer eins, die bei der Überprüfung berücksichtigt werden muss Zertifizierungsstellen geben an, ob sie Zertifikate haben, die im beliebtesten Web vorinstalliert sind Browser. Wenn die Zertifizierungsstelle, die Ihr SSL-Zertifikat ausstellt, nicht in dieser Liste aufgeführt ist, wird der Benutzer mit einer Warnung aufgefordert, dass das Sicherheitszertifikat der Site nicht vertrauenswürdig ist. Dies bedeutet natürlich nicht, dass Ihre Website unzulässig ist - es bedeutet nur, dass Ihre Zertifizierungsstelle (noch) nicht auf der Liste steht. Dies ist ein Problem, da sich die meisten Benutzer nicht die Mühe machen, die Warnung zu lesen oder die nicht erkannte Zertifizierungsstelle zu untersuchen. Sie werden wahrscheinlich nur wegklicken.

Glücklicherweise ist die Liste der vorinstallierten Zertifizierungsstellen in den wichtigsten Browsern ziemlich umfangreich. Es enthält einige große Markennamen sowie weniger bekannte und günstigere Zertifizierungsstellen. Haushaltsnamen umfassen Verisign, Los Papa, Comodo, Auftauen, Geotrust, und Anvertrauen.

Sie können auch in den Einstellungen Ihres eigenen Browsers nachsehen, welche Zertifizierungsstellen vorinstalliert sind.

• Gehen Sie für Chrome zu Einstellungen -> Erweiterte Einstellungen anzeigen… -> Zertifikate verwalten.
• Führen Sie für Firefox Optionen -> Erweitert -> Zertifikate anzeigen aus.
• Für IE Internetoptionen -> Inhalt -> Zertifikate.
• Gehen Sie für Safari in den Finder und wählen Sie "Los" -> "Dienstprogramme" -> "KeyChain Access" und klicken Sie auf "System".

Schauen Sie sich zum schnellen Nachschlagen diesen Thread an, in dem die Liste aufgeführt ist akzeptable SSL-Zertifikate für Google Checkout.

Domain Validation vs. Erweiterte Validierung

Ein SSL-Zertifikat soll die Identität der Website belegen, an die Sie Informationen senden. Um sicherzustellen, dass Benutzer keine falschen SSL-Zertifikate für Domains herausnehmen, die sie nicht zu Recht kontrollieren, a Die Zertifizierungsstelle überprüft, ob die Person, die das Zertifikat anfordert, tatsächlich der Eigentümer der Domain ist Name. In der Regel erfolgt dies über eine schnelle E-Mail- oder Telefonanrufüberprüfung, ähnlich wie wenn eine Website Ihnen eine E-Mail mit einem Kontobestätigungslink sendet. Dies nennt man a Domain validiert SSL-Zertifikat. Dies hat den Vorteil, dass SSL-Zertifikate fast sofort ausgestellt werden können. Sie könnten wahrscheinlich in kürzerer Zeit ein domänenvalidiertes SSL-Zertifikat erhalten, als Sie zum Lesen dieses Blogposts benötigt haben. Mit einem domänenvalidierten SSL-Zertifikat erhalten Sie das Vorhängeschloss und die Möglichkeit, den Datenverkehr Ihrer Website zu verschlüsseln.

Der Vorteil eines domänenvalidierten SSL-Zertifikats besteht darin, dass es schnell, einfach und kostengünstig erhältlich ist. Dies ist auch ihr Nachteil. Wie Sie sich vorstellen können, ist es einfacher, ein automatisiertes System zu täuschen, als eines, das von lebenden Menschen betrieben wird. Es ist so, als ob ein Highschool-Kind in die DMV kam und sagte, er sei Barack Obama und wollte einen von der Regierung ausgestellten Ausweis bekommen. Die Person am Schreibtisch warf einen Blick auf ihn und rief die Fed (oder den Irrenbehälter) an. Aber wenn es ein Roboter wäre, der an einem Lichtbildausweis arbeitet, könnte er etwas Glück haben. In ähnlicher Weise können Phisher „gefälschte IDs“ für Websites wie Paypal, Amazon oder Facebook erhalten, indem sie Domain-Validierungssysteme austricksen. Im Jahr 2009 veröffentlichte Dan Kaminsky ein Beispiel für einen Weg zu betrügerische Zertifizierungsstellen, um Zertifikate zu erhalten Dadurch würde eine Phishing-Website so aussehen, als wäre sie eine sichere, legitime Verbindung. Für einen Menschen wäre dieser Betrug leicht zu erkennen. Bei der automatisierten Domänenvalidierung fehlten zu diesem Zeitpunkt jedoch die erforderlichen Überprüfungen, um so etwas zu verhindern.

Als Reaktion auf die Schwachstellen von SSL- und domänenvalidierten SSL-Zertifikaten hat die Branche das eingeführt Erweiterte Validierung Zertifikat. Um ein EV-SSL-Zertifikat zu erhalten, muss Ihr Unternehmen oder Ihre Organisation einer strengen Überprüfung unterzogen werden, um dies sicherzustellen dass es bei Ihrer Regierung einen guten Ruf hat und die Domain, die Sie beantragen, zu Recht kontrolliert zum. Diese Überprüfungen erfordern unter anderem ein menschliches Element und dauern daher länger und sind teurer.

In einigen Branchen ist ein EV-Zertifikat erforderlich. Für andere geht der Nutzen jedoch nur so weit, wie Ihre Besucher ihn erkennen. Für alltägliche Webbesucher ist der Unterschied subtil. Zusätzlich zum Vorhängeschlosssymbol wird die Adressleiste grün und zeigt den Namen Ihres Unternehmens an. Wenn Sie auf klicken, um weitere Informationen zu erhalten, sehen Sie, dass die Identität des Unternehmens überprüft wurde, nicht nur die Website.

Hier ist ein Beispiel für eine normale HTTPS-Site:

Und hier ein Beispiel für eine HTTPS-Site mit EV-Zertifikat:

Abhängig von Ihrer Branche lohnt sich ein EV-Zertifikat möglicherweise nicht. Außerdem müssen Sie ein Unternehmen oder eine Organisation sein, um eines zu erhalten. Obwohl große Unternehmen in Richtung EV-Zertifizierung tendieren, werden Sie feststellen, dass die Mehrheit der HTTPS-Websites immer noch den Nicht-EV-Geschmack aufweist. Wenn es für Google, Facebook und Dropbox gut genug ist, ist es vielleicht gut genug für Sie.

Noch etwas: Es gibt eine Option in der Mitte der Straße, die als Organisation validiert oder Geschäft validiert Zertifizierung. Dies ist eine gründlichere Überprüfung als die automatisierte Domain-Validierung, geht jedoch nicht so weit, die Branche zu erfüllen Vorschriften für ein Extended Validation-Zertifikat (beachten Sie, wie Extended Validation aktiviert und „organisatorisch“ ist Validierung ”ist nicht?). Eine OV- oder geschäftsvalidierte Zertifizierung kostet mehr und dauert länger, aber Sie erhalten keine grüne Adressleiste und keine Informationen zur Überprüfung der Unternehmensidentität. Ehrlich gesagt kann ich mir keinen Grund vorstellen, ein OV-Zertifikat zu bezahlen. Wenn Ihnen einer einfällt, klären Sie mich bitte in den Kommentaren auf.

Shared SSL vs. Privates SSL

Einige Webhosts bieten einen gemeinsam genutzten SSL-Dienst an, der häufig günstiger ist als ein privates SSL. Abgesehen vom Preis besteht der Vorteil eines gemeinsam genutzten SSL darin, dass Sie keine private IP-Adresse oder keinen dedizierten Host benötigen. Der Nachteil ist, dass Sie keinen eigenen Domainnamen verwenden können. Stattdessen lautet der sichere Teil Ihrer Website wie folgt:

https://www.hostgator.com/~yourdomain/secure.php

Vergleichen Sie das mit einer privaten SSL-Adresse:

https://www.yourdomain.com/secure.php

Bei öffentlich zugänglichen Websites wie E-Commerce-Websites und Websites für soziale Netzwerke ist dies offensichtlich ein Nachteil, da Sie anscheinend von der Hauptwebsite umgeleitet wurden. Für Bereiche, die normalerweise nicht von der Öffentlichkeit gesehen werden, wie z. B. die Innereien eines Mail-Systems oder eines Administratorbereichs, ist ein gemeinsames SSL möglicherweise ein gutes Geschäft.

Vertrauenssiegel

Bei vielen Zertifizierungsstellen können Sie ein Vertrauenssiegel auf Ihrer Webseite platzieren, nachdem Sie sich für eines ihrer Zertifikate angemeldet haben. Dies gibt fast die gleichen Informationen wie das Klicken auf das Vorhängeschloss im Browserfenster, jedoch mit höherer Sichtbarkeit. Das Einfügen eines Vertrauenssiegels ist nicht erforderlich und erhöht auch nicht Ihre Sicherheit. Wenn Ihre Besucher jedoch wissen, wer das SSL-Zertifikat ausgestellt hat, werfen Sie es auf jeden Fall dort hoch.

Platzhalter-SSL-Zertifikate

Ein SSL-Zertifikat überprüft die Identität einer Domäne. Wenn Sie also HTTPS für mehrere Subdomings verwenden möchten, z. B. groovypost.com, mail.groovypost.com und answers.groovypost.com- Sie müssten drei verschiedene SSL-Zertifikate kaufen. Ab einem bestimmten Punkt wird ein Wildcard-SSL-Zertifikat wirtschaftlicher. Das heißt, ein Zertifikat zur Abdeckung einer Domain und aller Subdomains, d. H. * .Groovypost.com.

Garantien

Unabhängig davon, wie lange der gute Ruf eines Unternehmens besteht, gibt es Schwachstellen. Sogar vertrauenswürdige Zertifizierungsstellen können von Hackern angegriffen werden, wie die Verstoß bei VeriSign, der 2010 nicht gemeldet wurde. Darüber hinaus kann der Status einer Zertifizierungsstelle in der vertrauenswürdigen Liste schnell widerrufen werden, wie wir bei der DigiNotar snafu zurück im Jahr 2011. Sachen passieren.

Viele Zertifizierungsstellen bieten jetzt Garantien an, um Unbehagen über das Potenzial solcher zufälligen SSL-Ausschweifungen zu lindern. Die Deckung reicht von einigen tausend Dollar bis zu über einer Million Dollar und umfasst Verluste, die durch den Missbrauch Ihres Zertifikats oder andere Pannen entstehen. Ich habe keine Ahnung, ob diese Garantien tatsächlich einen Mehrwert bieten oder nicht oder ob jemand jemals erfolgreich einen Anspruch gewonnen hat. Aber sie sind für Ihre Überlegung da.

Kostenlose SSL-Zertifikate und selbstsignierte SSL-Zertifikate

Es gibt zwei Arten von kostenlosen SSL-Zertifikaten. Eine selbstsignierte, in erster Linie für private Tests und vollständige öffentliche SSL-Zertifikate, die von einer gültigen Zertifizierungsstelle ausgestellt wurden. Die gute Nachricht ist, dass es 2018 einige Optionen gibt, um 100% kostenlose, gültige 90-Tage-SSL-Zertifikate von beiden zu erhalten SSL kostenlos oder Verschlüsseln wir. SSL for Free ist in erster Linie eine GUI für die Let's Encrypt-API. Der Vorteil der kostenlosen SSL-Site besteht darin, dass sie einfach zu verwenden ist und über eine schöne Benutzeroberfläche verfügt. Das Verschlüsseln ist jedoch hilfreich, da Sie das Anfordern von SSL-Zertifikaten vollständig automatisieren können. Ideal, wenn Sie SSL-Zertifikate für mehrere Websites / Server benötigen.

Ein selbstsigniertes SSL-Zertifikat ist für immer kostenlos. Mit einem selbstsignierten Zertifikat sind Sie Ihre eigene Zertifizierungsstelle. Da Sie jedoch nicht zu den vertrauenswürdigen Zertifizierungsstellen gehören, die in Webbrowsern integriert sind, erhalten Besucher eine Warnung, dass die Berechtigung vom Betriebssystem nicht erkannt wird. Daher gibt es wirklich keine Garantie dafür, dass Sie der sind, von dem Sie sagen, dass Sie es sind (es ist so, als würden Sie sich einen Lichtbildausweis ausstellen und versuchen, ihn im Spirituosengeschäft weiterzugeben). Der Vorteil eines selbstsignierten SSL-Zertifikats besteht jedoch darin, dass es die Verschlüsselung für den Webverkehr ermöglicht. Dies ist möglicherweise für den internen Gebrauch geeignet, bei dem Ihre Mitarbeiter Ihre Organisation als vertrauenswürdige Zertifizierungsstelle hinzufügen können, um die Warnmeldung zu entfernen und eine sichere Verbindung über das Internet herzustellen.

Anweisungen zum Einrichten eines selbstsignierten SSL-Zertifikats finden Sie in der Dokumentation zu OpenSSL. (Wenn es genügend Nachfrage gibt, schreibe ich ein Tutorial.)

Installieren eines SSL-Zertifikats

Nachdem Sie Ihr SSL-Zertifikat gekauft haben, müssen Sie es auf Ihrer Website installieren. Ein guter Webhost bietet an, dies für Sie zu tun. Einige gehen vielleicht sogar so weit, es für Sie zu kaufen. Oft ist dies der beste Weg, da dies die Abrechnung vereinfacht und sicherstellt, dass sie ordnungsgemäß für Ihren Webserver eingerichtet ist.

Sie haben jedoch immer die Möglichkeit, ein SSL-Zertifikat zu installieren, das Sie selbst gekauft haben. In diesem Fall sollten Sie zunächst die Wissensdatenbank Ihres Webhosts konsultieren oder ein Helpdesk-Ticket öffnen. Sie werden zu den besten Anweisungen für die Installation Ihres SSL-Zertifikats weitergeleitet. Sie sollten auch die Anweisungen der Zertifizierungsstelle konsultieren. Diese geben Ihnen eine bessere Anleitung als alle allgemeinen Ratschläge, die ich Ihnen hier geben kann.

Möglicherweise möchten Sie auch die folgenden Anweisungen zum Installieren eines SSL-Zertifikats lesen:

• Installieren Sie ein SSL-Zertifikat und richten Sie die Domäne in cPanel ein
• So implementieren Sie SSL in IIS (Windows Server)
• Apache SSL / TLS-Verschlüsselung

Alle diese Anweisungen beinhalten die Erstellung einer SSL Certificate Signing Request (CSR). Tatsächlich benötigen Sie eine CSR, um ein SSL-Zertifikat ausstellen zu lassen. Auch hier kann Ihnen Ihr Webhost helfen. Weitere DIY-Informationen zum Erstellen eines CSR finden Sie in diesem Artikel von DigiCert.

Vor- und Nachteile von HTTPS

Wir haben die Vorteile von HTTPS bereits fest etabliert: Sicherheit, Sicherheit, Sicherheit. Dies verringert nicht nur das Risiko einer Datenverletzung, sondern schafft auch Vertrauen und verleiht Ihrer Website mehr Ansehen. Versierte Kunden müssen sich möglicherweise nicht einmal anmelden, wenn sie ein „ http://” auf der Anmeldeseite.

HTTPS hat jedoch einige Nachteile. Angesichts der Notwendigkeit von HTTPS für bestimmte Arten von Websites ist es sinnvoller, diese als „NachteileIderationen “statt Negative.

• HTTPS kostet Geld. Für den Anfang fallen die Kosten für den Kauf und die Erneuerung Ihres SSL-Zertifikats an, um die Gültigkeit von Jahr zu Jahr sicherzustellen. Es gibt jedoch auch bestimmte „Systemanforderungen“ für HTTPS, z. B. eine dedizierte IP-Adresse oder einen dedizierten Hosting-Plan, die teurer sein können als ein gemeinsam genutztes Hosting-Paket.
• HTTPS kann die Serverantwort verlangsamen. Es gibt zwei Probleme im Zusammenhang mit SSL / TLS, die die Ladegeschwindigkeit Ihrer Seite verlangsamen können. Um zum ersten Mal mit Ihrer Website kommunizieren zu können, muss zunächst der Browser des Benutzers geöffnet werden durch den Handshake-Prozess, der zur Überprüfung der Website auf die Website der Zertifizierungsstelle zurückspringt Zertifikat. Wenn der Webserver der Zertifizierungsstelle träge ist, verzögert sich das Laden Ihrer Seite. Dies liegt weitgehend außerhalb Ihrer Kontrolle. Zweitens verwendet HTTPS eine Verschlüsselung, die mehr Rechenleistung erfordert. Dies kann behoben werden, indem Sie Ihren Inhalt für die Bandbreite optimieren und die Hardware auf Ihrem Server aktualisieren. CloudFare hat einen guten Blog-Beitrag darüber, wie und warum SSL Ihre Website verlangsamen könnte.
• HTTPS kann sich auf die SEO-Bemühungen auswirken Wenn Sie von HTTP zu HTTPS wechseln; Sie wechseln auf eine neue Website. Beispielsweise, https://www.groovypost.com wäre nicht das gleiche wie http://www.groovypost.com. Es ist wichtig sicherzustellen, dass Sie Ihre alten Links umgeleitet und die richtigen Regeln unter die Haube Ihres Servers geschrieben haben, um zu vermeiden, dass Sie wertvollen Linksaft verlieren.
• Gemischter Inhalt kann eine gelbe Flagge werfen. Für einige Browser, wenn Sie den Hauptteil einer Webseite von HTTPS geladen haben, aber Bilder und andere Elemente (z Stylesheets oder Skripte), die von einer HTTP-URL geladen wurden, wird möglicherweise ein Popup angezeigt, das darauf hinweist, dass die Seite nicht sicher ist Inhalt. Natürlich mit etwas Sicherer Inhalt ist besser als keiner, obwohl letzteres nicht zu einem Popup führt. Es kann sich jedoch lohnen, sicherzustellen, dass Ihre Seiten keinen „gemischten Inhalt“ enthalten.
• Manchmal ist es einfacher, einen Drittanbieter-Zahlungsabwickler zu finden. Es ist keine Schande, Google Checkout, Paypal oder Checkout von Amazon Ihre Zahlungen abwickeln zu lassen. Wenn all das zu viel zu sein scheint, können Sie Ihre Kunden Zahlungsinformationen auf der sicheren Website von Paypal oder auf der sicheren Website von Google austauschen lassen und sich die Mühe sparen.

Haben Sie weitere Fragen oder Kommentare zu HTTPS- und SSL / TLS-Zertifikaten? Lass es mich in den Kommentaren hören.