Let’s Encrypt – Kostenlose SSL Verschlüsselung

[Labla]

Hallo Miteinander,

ich könnte schwören, dass ich zu dem Thema hier vor kurzem etwas gelesen habe. Da mir aber die Forum-Suche keine entsprechenden Treffer ausgegeben hat, habe ich mich wohl geirrt

In den letzten Wochen haben einige Webmaster bei uns wegen kostenloser SSL Zertifikate mit Let’s Encrypt angefragt. Da das Thema hier vielleicht auch andere interessieren könnte, haben wir Euch dazu eine kleine Anleitung zusammengestellt.

Wie immer gilt: Bei Fragen helfe ich gerne weiter.

Labla

 

[Titan]

Wer das über Plesk machen möchte (Cronjobs noch anlegen...glaube die Plesk-Extension verlängert das Zertifikat nicht automatisch):

Im Plesk Panel:

1. Erweiterungen (Extensions)
2. Katalog der Erweiterungen (Extensions Catalog)
3. hier "Let's Encrypt 1.2" installieren (install)

Jetzt kann man unter Erweiterungen (Extensions) "Let's Encrypt" (anklicken) für die
entsprechenden Domains ein SSL-Zertifikat installieren.

 

[Labla]

Hallo Titan!

interessant - wie ist es mit den Verlängerungen? Ist es bei Plesk auch möglich das automatisch machen zu lassen?

Labla

 

[eenzoo]

Was man Bitteschön aber dazu sagen sollte, dass man das wohl überlegt angehen muss. Bei einer Domain die man neu aufsetzt und von Beginn an unter https laufen lässt, stellt das kein Problem dar. Aber es kann zu einem immensen Kuddelmuddel werden wenn man umfangreiche Pages auf https umstellen möchte und die gesamte Linkstuktur ändern muss.

Auch bzgl der eingehenden Links auf http:// domain .tld sollte man sich das gut überlegen. Klar kann man die per 301 quasi "durchschleifen" aber sie verlieren doch an "Ausdrucksstärke".

Und immer dran denken http auf https komplett umzuleiten und somit quasi zu deaktivieren, da man sich sonst (ähnlich www -> non-www) jede Menge duplicated Content produziert.

 

[Globi]

ich wuerde den scheiss auch weg lassen.
auch die user geben doch nur domainnamen ein, und wenn dann hoechstens noch ein www davor.
das ist schon genug verwirrend, und jetzt noch http und https?
nur weil google irgendwann mal wieder was erzaehlt hat das ssl bevorzugt wird?

die party geht dann naehmlich los wenn die zertifikate abgelaufen sind, bei serverwechsel, fehlern und anderem zeugs, das dann dem user ein fensterchen aufpoppen laesst das die seite unsicher sei, oder das ssl zertifikat abgelaufen ist.
die verstehen dann naehmlich nur banhof, und verlassen in panischer angst die seite.

wozu ssl, wenn es nicht wirklich was zu schuetzen giebt ??

 

[Schmutziger alter Mann]

Ich lasse mir von dir doch nicht die Worte aus dem Mund nehmen...

 

[Labla]

Ja, @eenzoo hat Recht: man muss an einiges denken. Sehr gerne werden z.B. absolute Pfade bei den Grafiken vergessen, die nach der Umstellung noch ein http:// beinhalten. Aber das alles lässt sich mit überschaubaren Aufwand zuverlässig lösen. D.h., der User muss nach der Aktivierung eines SSL-Zertifikates auch kein https:// vor die URL schreiben, da das vom Webserver automatisch gemacht wird.

Es gibt ein anderes Problem, das aber leider nicht von den Webmastern beeinflusst werden kann:
Wenn man von einer https Seite externe Werbung via http einbindet, jammert sofort der Browser herum. Und das wird den Besucher mit Sicherheit verwirren.

Das Problem: die wenigsten PP haben kapiert, dass sie ihre Werbung auch verschlüsselt ausliefern müssen. Und viele Webmaster bemerken diese Probleme erst nach der Umstellung.

Bis dahin heißt es:

1. Alternative 1: Auf die https-Umstellung verzichten (meiner Meinung nach ein klarer Fehler)
2. Auf das Einbinden externer Werbung verzichten (generell eine gute Entscheidung)
3. oder - Achtung, Eigenwerbung - auf Systeme wie moreAds / moreCash setzen

Labla

 

[HornyGuy]

Auch bzgl der eingehenden Links auf http:// domain .tld sollte man sich das gut überlegen. Klar kann man die per 301 quasi "durchschleifen" aber sie verlieren doch an "Ausdrucksstärke".

Warum sollten sie das? Es ist weder ne andere Domain noch anderer Content - es ist lediglich ein anderes Protokoll. Also ich hab nun bisher 8 Domains umgestellt und an den Google Positionen hat sich absolut nix geändert

 

[eenzoo]

Dann sind womöglich die Links nicht massgeblich an deinen Rankings "schuld" bzw. haben die Links auch nach der Umstellung genug Wirkung!
Fakt ist, http und https ergeben komplett andere Linkziele und die Linkpower der Inboundlinks nimmt mit/durch Redirects ab.

 

[eenzoo]

wozu ssl, wenn es nicht wirklich was zu schuetzen giebt ??

Ich seh da zweierlei Gründe:
1. Es ist ein indirekter Rankingfaktor
2. Marketing: Du betreibst DIE sichere Pornoseite. Keine Viren, Trojaner, kein Sozial Mist und die Daten sind auch noch geschützt (welche auch immer).

"Alles" verifiziert und geprüft und zertifiziert. Und schon ist der ängstliche User weniger ängstlich!
Da sehe ich einen dicken USP wenn du das richtig kommunizierst!

 

[Globi]

der user weis meist nichtmal was ssl oder https ist.
und wenn ers weis, dann weis er auch das dies wichtig ist beim bezahlformular.

was verifiziert angeht, da kann ja jeder irgendwelche tuev symbohle auf seine webseite knallen und sich selber sicherheitslabels basteln, wenns denn beruihgt.

und man kann einem auch viren und trojaner mit ssl unterjubeln, wahrscheinlich geht damit noch viel besser

rankingfaktor seh ich eher als lachnummer, weil ist schlussendlich auch wieder nur einer von all den 100ten.

es giebt schon geschaefte wo das sinnvoll ist, aber ich denke nicht unbedingt im schmudelbiz.

 

[MrAffiliate]

Finde ich gar nicht verkehrt, allerdings lasse ich es selber. Wenn es wirklich ein starker Rankingfaktor werden sollte, dann ist es auch nur einer von hunderten. Lustigerweise habe ich dann trotz fehlendem SSL-Zertifikat die Möglichkeit, meine Seite besser aufzustellen. Es ist ja nicht "der eine entscheidende Rankingfaktor".

Zum Thema Weiterleitung: Gibt es dafür nicht den canonical-Tag, um Google zu sagen, dass es sich hierbei um die richtige Domain handelt?

 

[eenzoo]

Interessant dazu: Umstellung der kompletten Seite auf HTTPS - SEO-Book
Auch bzgl. des unzureichenden Canonicals ...
Und ja Globi, ... wissen kann der es auch nicht genau

 

[Globi]

ich denke schlussendlich ist das wieder ein furz von google.
logisch, ssl, sicherheit, weniger unfug usw.
aber brauchen wir das wirklich?
google drueckt wieder mit rankingfaktor, und alle webmaster kuschen wie lemminge.
also immer mehr arbeit fuer uns, immer mehr investition fuer uns, und google giebt den ton an.

aber mal ganz ehrlich, das kann google nur wenn all die idioten ihm andauernd in den arsch kriechen.

wuerden es naehmlich nicht alle blind tun, heisst solange 60% -70% aller webseiten kein ssl benutzen, bleibt google eigentlich nichts anderes uebrig als den bloedsinn als rankingfaktor zu ignorieren.
und ich denke das tut er im moment auch. ansonsten muesste er naehmlich suchergebnisse anzeigen und auswaehlen aus 5% ssl seiten die heute existieren, und die 95% http seiten links liegen lassen.
heisst die suchergebnisse waeren noch mehr scheisse.

eine gute seite muss er richtig platzieren, ansonsten benutzt ja keiner mehr google als suchmaschine.
die ergebnisse kann er nicht an ssl abhaengig machen. also wenn man von 200 faktoren spricht, dann waere ssl dann auch nur noch 0,5% und da klatsch ich doch lieber ein satz ein alt text und ein bildchen mehr auf die seite, dann hab ich die 0,5% besseres ranking auch wieder drin.

 

[eenzoo]

Ich denke G schert sich einen Scheiss um das was wir denken, tun oder nicht tun. Sicher ist aber eines - es wird immer einen Kampf um den Platz an der Rankingsonne geben. Denn es gibt KEINE plausible Alternative zu Google, zumindest nicht für Adult in Deutschland & Co. Natürlich kann man für seine Sexshop Flyer drucken und auf Swingerparties und Sexmessen verteilen, aber das meine ich nicht.

Man kann es auch ganz anders machen, und bei Gott hätte ich das alles gewusst, ich hätte heute nicht eine Website, und kannst Thommy & Co glücklich machen und kaufst deinen Traffic. Was mehr Vor- als Nachteile hat. Und das Rankingfaktor und Umleitungsproblem wäre dann auch obsolet ;-)

ABER solang du Traffic von Google willst, bleibt dir nix anderes übrig als nach der Pfeife zu tanzen und das schliesst es einfach ein jede mögliche Verbesserung deiner Rankings und die dazu nötigen Massnahmen in Betracht zu ziehen,

 

[HornyGuy]

Es ist doch nicht nur Google ... die drei größten Browseranbieter rüsten seit Jahren Richtung SSL. Und die machen das alle nicht aus Jux und Tollerei oder aus Boshaftigkeit gegenüber den "Adult Webmastern", sondern weil die User immer mehr sensibilisiert sind für die Verschlüsselung ihrer Daten auf Webseiten

Manchmal genügt es schon einfach über die eigenen Zehenspitzen die Welt zu betrachten...

 

[MrAffiliate]

Mal ein anderer Blickwinkel: Ich sehe es so, dass Google schon seit längerem in verschiedene Bereiche kategorisiert. Adult, Non-Adult. Und dann gibt es noch: Blogs, E-Commerce, Foren, Chats, etc pp.

Ich denke dass Google das auch bei SSL macht. Denn: Sagen wir Fritz startet einen neuen Blog, weil er gerne einen eigenen Blog haben will. Schreibt dort über sein Hobby, der Fotografie. Meint ihr Fritz, der kaum eine Ahnung von Google und den Rankingfaktoren hat, wird sich ein SSL-Zertifikat kaufen? Wenn er aber geilen Content schreibt, gute Links und eine nette Aufmerksamkeit bekommt, bleibt Google auch hier nichts anders übrig außer zu sagen: Der wird ranken.

Ich glaube, dass Google ziemlich gut unterscheiden wird, für wen ein SSL-Zertifikat überhaupt sinnvoll ist und für wen nicht.

 

[Nicole]

So wie ich das verstanden habe, muss man für jede Domain eine eigene IP haben, dann braucht es für jede Subdomain ein eigenes Zertifikat.
Ich hätte wirklich nichts gegen diese SSL Verschlüsselung, wenn die PPs da mitziehen würden. Ich arbeite nach wie vor vornehmlich mit Iframes, was nutzt es mich also, wenn meine Seite verschlüsselt ist, der Besucher aber die Inhalte, mit denen ich Geld verdienen möchte, gar nicht sehen können, weil die PPs da nicht mitspielen.
Eigentlich ist es richtig scheiße, dass jetzt einige mit kostenlosen SSL Zertifikaten raus kommen, denn erst, wenn etwas kostenlos ist, kann man das ja grade mitmachen. Und so erhöht sich die Anzahlt der Webseiten, die verschlüsselt sind und irgendwann geht's ohne dann wirklich nicht mehr.

 

[Labla]

So wie ich das verstanden habe, muss man für jede Domain eine eigene IP haben, dann braucht es für jede Subdomain ein eigenes Zertifikat.

Nein, musst Du nicht mehr. Eine IP reicht für alle Deine Domains. Nur uralt Browser dürften mit diesen Zertifikaten Probleme haben. Diese Browser kannst Du aber vergessen, da sie z.B. Probleme mit vielen responsiven Seiten haben dürften. Notfalls kannst Du für diese alten Browser auch eine Weiche einbauen, die sie auf eine gesonderte LP schickt. Und nein, das wäre dann kein Cloaking.

Ich hätte wirklich nichts gegen diese SSL Verschlüsselung, wenn die PPs da mitziehen würden. Ich arbeite nach wie vor vornehmlich mit Iframes,

Vielleicht solltest Du das mit den IFrames mal überdenken. Mag sein, dass es noch nicht bei allen PP alternative Werbemittel gibt. Aber viele haben da schon was in Petto. Notfalls kannst Du Dir da auch was eigenes bauen. Das nur so als Idee ...

Labla

 

[Titan]

Hallo Titan!

interessant - wie ist es mit den Verlängerungen? Ist es bei Plesk auch möglich das automatisch machen zu lassen?

Labla

Habe ich noch nicht getestet. Lasse ein "manuelles" Cronjob laufen.

Und ob SSL Sinn macht oder nicht, soll jeder für sich selbst entscheiden. Ich denke, dass es in Zukunft irgendwann nicht mehr ohne geht. Also springe gleich am Anfang mit auf den Zug.

Ich stelle meine Seiten nicht komplett auf SSL um. Habe aber übereall ein SSL-Zert installiert. Überall da, wo User Daten übermitteln (Login, Newsletter, ...) sollte es meiner Meinung nach verschlüsselt erfolgen. Keine Ahnung ob Google in dieser Richtung irgendwas überprüft (Erreichbarkeit über https) oder in Zukunft überprüfen wird und es auf das Ranking Auswikrungen hat.

Ich lasse meine Seiten normal laufen und verlinke auch ohne https. Nur wenn Daten übermittelt werden läuft es über eine sichere Verbindung. Und Google hat auch im "Mitglieder-Bereich" nichts verloren - da spielt es auch keine Rolle.