Startseite / Blog / Allgemeines / Bloggen und Technik / Einfach gebloggt – wir sind https, ausgezeichnet und 2.0
Bloggen und Technik

Einfach gebloggt – wir sind https, ausgezeichnet und 2.0

Es wird mal wieder Zeit einfach mal ein paar Ereignisse zusammen zu fassen, welche rund um diesen Blog oder in unserem Leben in den letzten Wochen passiert sind. Wir sind https, ausgezeichnet und irgendwie 2.0…

Wir sind https…

Schon recht lange spielen wir, genauer gesagt Thomas, mit dem Gedanken den Blog auf https umzustellen. https? Was ist denn das?

HTTPS wird zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser (Client) im World Wide Web verwendet. Dies wird u. a. durch Verschlüsselung und Authentifizierung erreicht.

Oder kurz und einfach gesagt: Die Inhalte dieser Seite werden ab sofort sicher und verschlüsselt auf euren Rechner übertragen.

Das https-Protokoll gibt es schon ewig. Ganz wichtig ist das auf den Seiten, wo Daten von Euch zu dem Server der Webseite übertragen werden, z.B. bei einer Onlinebestellung. Wieso wir das nun auch hier haben, wo doch auf der Hauptseite gar kein Shop läuft? Nun, dafür gibt es Gründe:

  • Zur Steigerung der Sicherheit, auch gegen Manipulationen der Seite von außen.
  • Google hat bekannt gegeben, dass Webseiten mit https in Zukunft besser ranken sollen.
  • Zusätzlich sollen alle Webseiten ohne https in Zukunft bei Google markiert werden.
  • Die nötigen Zertifikate gibt es nun auch kostenlos.
  • Weil wir es können wollten.

Zusätzliche Motivation kam von Tanja, welche in den letzten Tagen ihren Blog Takly on Tour ebenfalls auf https umgestellt hat und uns dazu einige gute Tipps gegeben hat.

Also haben wir uns gestern mal an die Umsetzung gemacht. Bei unserem Provider gibt es die Möglichkeit die benötigten Zertifikate zu bekommen. Leider kosten diese dort im Jahr über 90 Euro, das war uns immer für einen Hobbyblog zu viel. Jetzt kann man aber die Zertifikate über Let’s Encrypt auch kostenlos bekommen. Also haben wir uns entschlossen, die Zertifikate von denen zu nehmen und einzubinden.

Anleitung zum Umstellen auf https

Einbinden – tja, wenn das so einfach wären. Wir haben dazu eine gute Anleitung bei Alexander von RA-Networks gefunden, speziell für die Einbindung bei unserem Provider All-Inkl. Über eine weitere Seite findet man dann auch eine Schritt-für-Schritt-Anleitung, wie man am Mac (oder unter Linux) die Zertifikate erstellt und auf dem Webserver einbindet. So weit, so gut hat auch alles funktioniert. Bis zu der Stelle, wo man den Besitz des Servers durch die Übertragung einer Datei per ssh bestätigen muss. Das hat einfach nicht funktioniert, vermutlich ein Rechteproblem. 

Also haben wir den Support von All-Inkl angeschrieben, und dann ging alles sehr schnell und einfach. Wie immer antwortete der Support binnen Minuten und bat uns an das Zertifikat für uns auf der Domain zu installieren. Die Aktivierung könnten wir dann selber vornehmen, wenn alle nötigen Änderungen an der Seite erledigt sind. Wiederum nur ein paar Minuten später war das Zertifikat zu sehen und eingebunden. Das nenne ich mal einen Support, Danke dafür. Dieser Absatz hat sich erledigt, man kann das Zertifikat auf Knopfdruck selber installieren, siehe die Ergänzung unten.

Viele Buchstaben und Zahlen
Viele Buchstaben und Zahlen

Nun ging es daran ein paar Änderungen am Blog vorzunehmen.

  1. Umstellung der Blogadresse von http auf https in den Einstellungen
  2. Sicherung der Datenbank
  3. Alle URLs auf https umstellen in der wp-config
  4. Alle URLs in der Datenbank auf https umstellen
  5. Umleitung per htaccess auf https
  6. Prüfen der Seiten
  7. Umstellen der Seite bei Google-Analytics, Webmaster Tools usw.

Das alles haben wir mit einer tollen Anleitung von WeBongo gemacht, die wir nur empfehlen können und war innerhalb von 45 Minuten erledigt. Zumindest die Schritte 1-5, dann kam die Prüfung.

Dabei zeigte sich, dass das Zertifikat zwar vorhanden ist, die Seite über https funktioniert aber das begehrte Schlosssymbol in der Adressleiste des Browsers nicht angezeigt wurde. Also haben wir uns die Fehlerkonsole im Safari eingeblendet und schnell waren die Übeltäter gefunden. Die Bilder in den Widgets standen noch auf http. Die haben wir dann schnell manuell auf https gesetzt, kein Problem. Jetzt waren es nur noch ein paar externe Banner, die falsch eingerichtet waren. Zwei veraltete Banner sind dann direkt mal raus geflogen, da hier keine https-Einbindung möglich war. Blieb nur noch unser Bettelbanner nach Amazon. Dieses kann man nicht in einer https-Variante bekommen – unverständlich. Also haben wir einfach das Bild auf unseren Server gepackt, per https eingebunden und den Link manuell drauf gesetzt. Ist auch für die Geschwindigkeit des Blogs besser, wenn die Grafiken nicht von extern kommen.

Alles in allem hat das Ganze nun sehr reibungslos funktioniert. Wir sind mal gespannt, wie sich die Besucherzahlen entwickeln werden. Es soll ja nach der Umstellung kurz zu einem Einbruch kommen, ich bin mal gespannt. 

Ergänzung am 26.03.2016: Bei All-Inkl. ist nun ein neuer Automatismus eingebaut worden. Damit ist es nun so, dass sich die Let’s Encrypt Zertifikate automatisch nach drei Monaten verlängern. Ein erneuter Anruf bei der Hotline ist somit nicht mehr nötig.

Zertifikat wird automatisch beim Ablauf verlängert.
Zertifikat wird automatisch beim Ablauf verlängert.

Ein neues Let’s Encrypt Zertifikat kann man bei All-Inkl nun über die Adminoberfläche selber anlegen. Wählt dort einfach Eure Domain und geht bei den Details auf SLL-Edit. 

Neues Zertifikat installieren
Neues Zertifikat installieren

Wählt dort den Reiter „Let’s Encrypt“, setzt das Häkchen bei „Accept the disclaimer“ (ein Hinweis, dass es sich noch im Beta-Modus befindet) und drückt auf den Button „get a let’s encrypt…“. Und schon habt ihr ein Zertifikat für die Seite, das muss dann noch aktiviert werden. Die Änderungen am Blog müsst Ihr aber weiter selber machen, das ist nicht Aufgabe des Hosters.

Wir sind ausgezeichnet…

Auf dem Flocblog gibt es ja die Reiseblog-Lesercharts. Dort sind wir im Februar auf Platz 5 in der Kategorie Reisefoto geklettert. Das Ergebnis hat uns sehr überrascht und erfreut. Die Rangfolge dort ergibt sich über Anzahl der Abonnenten des RSS-Feefs bei Feedly und bei Bloglovin. Diese Zahlen sind kaum manipulierbar und recht aussagekräftig.

Für uns eine tolle Bestätigung und Motivation für die Zukunft.

Wir sind 2.0…

Und zwar Erkältung 2.0 für dieses noch junge Jahr. Melanie hatte letzte Woche ihre zweite Rüsselsäuche und Thomas hat es dieses Wochenende erwischt (war ja irgendwie klar). Beim schreiben dieses Artikels sind 14 Tempotücher drauf gegangen. Könnte auch so eine Art Mengenangabe zum Arbeitsaufwand sein – *grummel*. Ehrlich gesagt, das reicht dann auch bitte.

Neu hier im Blog? 

Dann schau doch mal wer wir sind oder was wir auf diesem Reiseblog und Fotoblog anbieten. Ganz besonders ans Herz legen möchte wir die Reiseberichte unserer Rundreisen, unsere Reisetipps und die Tipps für schöne Bilder von euren Reisen

Newsletter abonnieren

Abonniere unseren Newsletter und verpasse keinen neuen Beitrag mehr. Einmal in der Woche senden wir eine Mail, wenn neue Beiträge auf dem Blog erscheinen. Keine Werbung, kein Spam – einfach nur die Information über neue Beiträge.


Hinweis: Unsere Beiträge können sogenannte Amazon-Affiliate Links enthalten. Diese sind mit einem Sternchen * gekennzeichnet. Wenn Ihr auf so einen Link klickt und dort einkauft, bekommen wir eine kleine Provision. Für Euch ändert sich nichts am Preis und wir können auch nicht sehen, wer was gekauft hat.

Der Beitrag gefällt Dir? Dann teile ihn doch...

27 Kommentare

Hier klicken um einen Kommentar zu schreiben

  • Hallo Thomas,

    eine sehr gute Anleitung und natürlich mal wieder lieben Dank für die Erwähnung 😉
    Wieso das bei Amazon nicht funktioniert verstehe ich auch nicht, daher ist das zunächst jetzt erstmal bei mir rausgeflogen. Sehr guter Hinweis mit den Bildern in den Widgets, genau so habe ich das auch gemacht. Viele davon waren noch nicht auf https umgestellt. So ist selbst hochladen eine gute Lösung. Ohje, dann reicht es jetzt aber wirklich. Dann gute Besserung!!

    Viele Grüße,
    Tanja

    • Hi Tanja,

      ja, da dachte ich auch, schau mal im Partnerportal nach dem Banner in der https-Variante, doch nix da. Naja, mit der selbst eingebundenen Grafik gefällt mir das eh besser. 🙂

      Ich geh jetzt weiter rüsseln… *schnief*

      LG Thomas

  • Hallo ihr zwei,
    zunächst und im Besonderen mal: Gute Besserung.

    Am Thema https bin ich auch gedanklich schon dran.
    So ein wenig scheu ich mich noch, aber umsetzen möchte ich es auf jeden Fall.

    Lieben Gruß und kommt flott wieder auf die Füße
    Hans

  • Hi ihr 2,
    das https Vorhaben steht bei mir auch noch an. Danke für die Links, vor allem im Hinblick auf das kostenfreie Zertifikat. Das war bei mir bisher noch der Knackpunkt.
    Toller Beitrag und vielen Dank für die hilfreichen Verlinkungen.

    Viele Grüße
    Dirk

  • Hallo Thomas,

    erst einmal gute Besserung euch beiden.

    Sehr interessant die Umstellung auf https, ich werde das meinem Mann gleich mal zu lesen geben. Ich werde momentan mit CSS Hacks überschwemmt und habe viele Brute Force Angriffe.

    Ich freue mich über eure Platzierung, toll 🙂

    Liebe Grüße, Bee

  • Oha, na dann gute Besserung!
    Https hatte ich letztes Jahr schon mal probiert, hab das aber nicht geblickt. Mit den hier vorgestellten Anleitungen werde ich es aber nochmal testen. Ich bin nämlich auch bei Allinkl. Generell finde ich es doof, dass Google da so Druck macht. Schließlich haben wir auf unseren Blogs nicht mit sensiblen Daten zu tun, so dass die Verschlüsselung nur unnötiger Overhead ist und auf die Performance geht … nun ja …
    Liebe Grüße,
    Marc

    • Hi Marc,

      dann versuche erst gar nicht, das Zertifikat selber zu erstellen und es einzubinden. Die Zeit hätte ich mir schenken können. Es hat von der ersten Mail an den Support bis zum fertig eingerichteten Zertifikat keine 60 Minuten gedauert – AllInkl halt. Im Moment ist es aber noch so, dass man nach drei Monaten das Zertifikat neu beantragen muss und es dann neu eingebunden werden muss. Das muss dann noch so lange über den Support dort laufen, bis die den geplanten Automatismus in Betrieb nehmen. Wann das genau sein wird, konnten die mir noch nicht verbindlich sagen. Also, Wecker stellen und das nicht verpassen.

      Zum Thema Performance: Ich habe vor und nach der Umstellung bei Pingdom getestet und keinen Einbruch feststellen können. Die Werte waren vor und nach der Umstellung gleich.

      LG Thomas

  • Erstmal Glückwunsch zum 5. Platz und danke für die Erwähnung der Lesercharts. Ich finde diese Platzierung für Euer Blog nicht überraschend. Ihr habt viele gute Tipps zur Reisefotografie.

    Das mit https ist gut zu wissen, aber wie Marc schon sagt, ist der Nutzen für Blogs ziemlich fragwürdig. Wenn Google darauf besteht, ist das natürlich ein guter Grund, klingt aber schwer nach ABM…

    • Hi Florian,

      so richtig bringen tut einem Blog das https nicht wirklich was. Aber, es fiel bei mir in die Sparte Spielkind (wollte ich schon immer mal probieren). Und dadurch, dass das Zertifikat kostenlos ist, tut es auch nicht weh und schadet bestimmt auch nicht.

      LG Thomas

  • Hi Thomas,

    vielen Dank für den informativen Beitrag.

    Ich spiele auch schon längere Zeit mit dem Gedanken meinen Blog auf https umzustellen. Allerdings war mir das Geld (die von dir bezifferten 90€) immer zu viel.

    Mal gucken, ob ich mich heute Abend mal dran setze und es versuche umzusetzen. Dank deiner Anleitung dürfte das ja nicht so das Problem werden 😉

    Gute Besserung und viele Grüße
    Christian

      • Hallo Thomas,

        das Beantragen über All-Inkl ist ja wirklich einfach. Mail hin und schon werden alle Domains umgestellt.

        Ich habe allerdings vorerst nur die HTTP-Verbindung im Backend verschlüsselt. Allerdings bereitet mir das Session-Management noch etwas Schwierigkeiten.

        Soweit der Stand 😉

        Grüße
        Christian

      • Hallo Thomas,

        ich bin’s nochmal. Sobald ich eure Seite besuche, erhalte ich eine Warnmeldung, dass die Verbindung nicht sicher ist.
        Mein Entwicklertool meldet, dass eurer Travelbook-Widget noch ein Skript nachlädt, dass über eine nichtsichere Verbindung kommt.

        Grüße
        Christian

      • Hi Christian,

        Danke für den Hinweis. Ich hatte mich gerade bei Travelbook mal wieder angemeldet, da ich mir davon doch was verspreche. Ich hatte das mal runter geworfen, da das Logo von denen die Ladezeit des Blogs unendlich in den Keller gezogen hat. Nun stimmte wohl die Performance und nun das. Ich glaube, es fliegt wieder runter. Da werden Scripte nachgeladen, die über https nicht funktionieren – und dann kommt es wohl bei einigen zu der Meldung.

        LG Thomas

  • Ihr habt 45 Minuten für die Umstellung gebraucht? Was hat euch so lange aufgehalten? 🙂
    mnein, im Ernst. Dank des immer wieder hervorragenden Supports von all-jnkl ist eine Umstellung auf HTTPS ein Kinderspiel und wenn man die WP-Config und htaccess Einstellungen einmal bei einer Seite gemacht hat, geht das auch flott von der Hand.
    Schade ist nur, daß man zur Zeit noch alle 3 Monate das Zertifikat erneuern muss. Da hab ich aber auch gelesen, daß es da bald einen Automatismus geben soll.

    Gratulation zu Platz 5 und Beileid für Erkältung No. 2. Da werdet ihr dann dieses Jahr sicherlich 2-stellig erkältet sein. Aber vielleicht ist eine Erkältung in einem fernen Flecken der Welt ja eine andere Art Erkältung? Ihr werdet es sehen. 🙂
    Gruß, Max von fortgefahren.tv

  • Ah, danke für diesen Einblick – ich wusste gar nicht, dass es auch kostenlose SSL-Zertifikate gibt! Das war für mich bislang nämlich der Grund, von einer Umstellung zurückzuschrecken… geht mir da ja wie euch, für einen Blog ist SSL derzeit wirklich mehr „nice to have“. Muss ich auch definitiv mal angehen!

    Liebe Grüße
    Anne

    • Moin Anne,

      mach mal – war gar nicht schlimm und hat gar nicht weg getan. Schau auch mal bei StartSSL vorbei, die sind dann sogar ein ganzes Jahr gültig. Das Zertifikat habe ich jetzt auf unserer Büroseite eingebunden, hat ebenfalls prächtig funktioniert.

      LG Thomas

      • Hallo Thomas,

        so, nachdem die Zertifikate bei all-inkl.com jetzt automatisch erneuert werden, habe ich gestern meine Blogs umgestellt. Hat easy-peasy funktioniert und nicht einmal 45 Minuten gedauert. 🙂

        Sag mal, wie hast du das denn bei den Webmaster-Tools gemacht? Hatte gelesen, dass man die https-Variante tatsächlich als eigene Property anlegen soll. Irgendwie erscheint mir das aber etwas hirnrissig, gerade, weil ich natürlich von http auf https einen Redirect gesetzt habe…?!

        LG
        Anne

      • Moin Anne,

        ich habe es als zweite Property eingetragen. OK, durch die Umleitung ist es irgendwie doppelt gemoppelt aber schaden kann es wohl nicht, oder?

        LG Thomas

        PS: Das Forum will aber noch nicht, oder? Da komme ich nicht mehr auf die Seite.

  • Ah, gut zu wissen, dass du das auch so gemacht hast. 🙂

    Am Forum bin ich grad dran, hatte nicht auf dem Schirm, dass Subdomains automatisch auch betroffen sind (auch wenn man das SSL-Zertifikat für die natürlich nochmal extra einstellen muss).

    LG
    Anne