Heute hat es sich vielfach durchgesetzt, den Zugriff auf Webseiten verschlüsselt anzubieten und so haben wir auch begonnen, uns mit diesem Thema zu befassen. Entschieden haben wir dies am 8.1.2016 und die erste Umsetzung funktionierte am 9.1., abends.

Nach kurzem Vergleich im Internet entschieden wir uns für ein AlphaSSL-Zertifikat über unseren Web- und E-Mail-Provider Domainfactory, mit dem wir nach wie vor sehr zufrieden sind. Das Zertifikat hat eine Laufzeit von 3 Jahren und bestätigt nur die Echtheit der Domain gupki.de. Will man über die Domain mehr wissen, erfährt man dies über DENIC (Wikipedia) und direkt über diesen Link. Mit dem Auftrag zum Kauf des Zertifikats installiert Domainfactory dieses auch gleich vollautomatisch, so dass man sich als Kunde um diese Installation gar nicht zu kümmern braucht und anschließend funktioniert der verschlüsselte Zugriff auf die Website fast sofort (mit kurzer Zeitverzögerung). Bevor man solch einen Weg einschlägt, sollte man sich allerdings etwas Gedanken darüber gemacht haben, wofür man diesen verschlüsselten Zugriff nutzen will. Unsere erste Option war es, einfach wissen zu wollen wie es funktioniert und so haben wir am Anfang die komplette Webpräsenz verschlüsselt angeboten, wobei diese 3 Informationen dazu, Domainweiterleitung, .htaccess-Datei (Wikipedia) und beim Forum von Domainfactory hilfreich waren. Ein beliebter Stolperstein dabei ist die Htaccess-Datei. Obwohl häufig von der Datei htaccess.txt gesprochen wird, die eigentliche Steuerungsdatei heißt nur .htaccess und der führende Punkt ist nicht zu übersehen!

Alles, was als öffentliche Information angeboten wird, zu verschlüsseln macht aber wenig Sinn. So nutzen wir inzwischen das Joomla!-Plugin SSLrewrite von Yireo, einem holländischen Entwicklerteam (die auch weitere, interessante Plugins anbieten). Mit diesem Werkzeug kann man sehr gut steuern (konfigurieren) welcher Teil der Webpräsenz verschlüsset und welcher unverschlüsselt angeboten weden soll.