HTTPS-Verschlüsselung – so geht’s!

23
1182
geralt / Pixabay

Am 11.11.2015 habe ich damit begonnen meine WordPress Seite auf HTTPS umzustellen. Eines vorweg – das Ganze ist schon mit einem gewissen Zeitaufwand verbunden. Zumal, wenn man so etwas zum ersten Mal ohne Vorkenntnisse angeht. Meine Seite ist übrigens bei all-inkl.com gehostet und die Erläuterung beschreibt diesen Weg.

Zu allererst muss man die Voraussetzungen zu einer SSL-Verschlüsselung schaffen. Dazu habe ich die Zusatzoption SSL-Erweiterung hinzugebucht, da diese in meinem Vertrag nicht enthalten war. Dann wurde beim chinesischen Anbieter WoSign ein SHA-2 Zertifikat erstellt. Das geht ganz einfach. Nach Anlegen eines Accounts gibt man die CSR aus den Einstellungen des SSL-Schutzes ein. Nun wird von WoSign das Zertifikat erstellt, welches dann sofort zum Download bereit steht.

news-605

Den Inhalt der CRT und der Zwischenzertifikate kopiert man dann und fügt diese in die Option des SSL-Schutzes beim Hoster (all-inkl.com) ein. Nun wird SSL aktiviert und die eigene Seite sollte nun über das erstellte Zertifikat erreichbar sein.

Als Nächstes stellt man in WordPress unter Einstellungen => Allgemein beide URLs auf https://domain.de.

Nun werden folgende SQL-Befehle in der Datenbank ausgeführt, um alle alten Adressen mit https:// zu versehen.

Dabei müssen natürlich diese vier Befehle an die eigene Domain sowie die Änderungen der Einstellung der URLs in WordPress an die eigene Domain angepasst werden. Um nun HTTPS zu erzwingen werden der .htaccess folgende Einträge gesetzt.

Ist dies geschehen, hat man es fast geschafft. Im Backend wird schon ein grünes Schloss in der URL signalisieren, dass die Seite nun zu 100% verschlüsselt ist. Im Frontend hingegen, wird dies nicht so einfach sein. Nun wird es je nach Aufbau der Seite etwas zeitaufwändig. Man muss nun alle alten HTTP-Adressen in HTTPS per Hand ändern. Probleme können hier u.a. Grafiken machen. Dazu ist es auch ratsam alle Plugins zu deaktivieren und alle Widgets von der Seite zu nehmen. Ist nun das Schloss immer noch nicht grün, so kann es, wie schon erwähnt, auch an einem verwendeten Logo liegen. Auch hier ist der Pfad auf HTTPS umzustellen. Zur Not schaut man sich den Quellcode der Seite an und sucht nach den Fehlern. Ist dann alles soweit in Ordnung, können nach und nach alle Plugins aktiviert und Widgets wieder gesetzt werden.. Bei jedem Schritt überprüft man die Schloss-Anzeige in der URL. So kann man gut herausfinden, ob ein Plugin oder Widget evtl. Probleme macht. Ist dies der Fall, so muss man sich auf die Suche nach dem Fehler machen.

Das Plugin WP Maintance Mode musste bei mir deinstalliert und wieder installiert werden, bevor die Grafiken richtig verschlüsselt wurden.

news-604

Ich habe das nun alles soweit geschafft und meine Seite bietet nun die von mir gewünschte Sicherheit.

Ein kleiner Hinweis noch am Rande. Wenn man PIWIK zur statistischen Erfassung einsetzt und das Tool nicht mehr trackt, dann ist es ratsam das PIWIK-Verzeichnis hinter das WordPress-Verzeichnis zu hängen. In dem Fall wäre PIWIK dann über die Adresse https://www.domain/piwik/ erreichbar und sollte dann korrekt arbeiten.

23 Kommentare

  1. Hi, deine Webseite wird mir als nicht sicher angezeigt, wenn ich sie mit einem aktuellen Chrome besuche. Da stimmt irgendwas noch nicht.

  2. Benutze Chrome Version 46.0.2490.86 (64-bit) auf einem Mac (auch aktuell). Als Einstieg habe ich http://osbn.de/ gewählt. Auch bei der Abo Bestätigung gerade über die Mail kam die gleiche Warnung noch einmal.

  3. Echt jetzt ? Ein China-Zertifikat ? Und du denkst, deine Seite ist jetzt sicher ? Zu soviel naiver Doofheit fällt mir nichts ein. Pseudo-Admins wie dich sollte man zu einem Internet-Führerschein verdonnern.

    Und das nur wenige Tage, wo Lets Encrypt startet – die paar Tage hättest du auch warten können.

    PS:

    Grüße an die MITM-Mitleser aus dem Reich der Mitte !! Danke für die Nudeln …

    • Dir ist aber schon klar, dass die Chinesen nur den Zertifikat Request unterschrieben haben und nicht den private key haben?

      „Nach Anlegen eines Accounts gibt man die CSR aus den Einstellungen des SSL-Schutzes ein.“ Liest sich so, als hätte er den CSR von seinem Hoster bekommen, der dann auch den private key erstellt hat. Was natürlich auch suboptimal ist, anderseits kommt der Hoster fast immer auch ohne Fragen an die Daten ran, wenn er kriminell genug ist. 😉

Schreibe einen Kommentar zu Ben Antwort abbrechen

Bitte bestätige diesen Kommentar!
Bitte den Namen hier eingeben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.