Magento auf SSL umstellen

Nicht nur aus SEO-Gründen entscheiden sich immer mehr Webmaster ihre Seite auf SSL-Verschlüsselung und das HTTPS-Protokoll umzustellen. In diesem Tutorial zeige ich Ihnen Schritt für Schritt auf dem Hoster Mittwald die Umstellung auf SSL vonstattengeht.

2017 ist das Jahr an dem SSL nicht für Onlineshops zur Pflicht wird. Immer mehr Browserhersteller wie Google mit Chrome, seit Jänner und Mozilla mit Firefox, seit Version 52, blenden Meldungen bei unsicheren Passwort-Feldern ein. Diese Meldungen wirken auf Onlineshops extrem abschreckend. Deshalb haben wir die geplante Umstellung auf SSL vorgezogen und bei gleich mehreren Seiten, sowie auf einem Magento-Multistore, vorgezogen.

SSL-Zertifikat bestellen

Beim deutschen Hoster Mittwald werden SSL-Zertifikate am besten bei diesem selbst bestellt, da für die Einrichtung von fremden Zertifikaten hohe Gebühren entstehen. Für jedes Zertifikat wird zudem eine eigene IP-Adresse benötigt die oft extra verrechnet wird.

Mittwald: „Bei Ersteinrichtungen berechnen wir 49,00 € netto für das Einrichten des Zertifikates und 49,00 € netto für die Einrichtung der benötigten IP-Adresse. Für jede weitere Änderung des Zertifikates fallen Kosten in Höhe von 49,00 € netto an. Die monatliche Gebühr für die benötigte IP-Adresse beläuft sich auf 4,90 € netto.“

SSL Zertifikat am Server einrichten

Für die Installation des Zertifikates werden folgende Daten benötigt.

  • PrivateKey
  • Zertifikat
  • CA Bundle

Magento 1.9 auf SSL umschalten

Unter System -> Konfiguration -> Web werden folgende Einstellungen getroffen. Man kann den Weg gehen und nur bestimmte Bereiche auf https:// umstellen. Dafür trägt man einfach nur im Bereich „Sicher“ die Base URL mit https://your-domain.tld ein.

Grundsätzlich möchte ich keine ungesicherten Links mehr sehen und deshalb habe ich sowohl bei „Ungesichert“ als auch bei „Sicher“ (Unsecure base url und secure base url) die Adresse mit https hinterlegt.

Wichtig sind noch folgende Einstellungen:

  • Verwende sichere URL im Shopbereich: Ja
  • : Ja
  • Offloader Titelzeile: SSL_OFFLOADED

Nach der Umstellung muss der Magento-Index aktualisiert und der Magento-Cache geleert werden.

Damit die Seite im Frontend das gründe Schloss im Browser enthält, dürfen keine Quellen ohne SSL geladen werden. Ansonsten erscheint im Firefox die Meldung: „Verbindung nicht sicher. Teile dieser Website sind nicht sicher. Dies können z.B. Grafiken sein“. Da genügt selbst ein kleines Bild, wie ein Badge, dass von einer fremden Seite geladen wird. Am einfachsten kommt man diesem Kasus auf die Schliche indem in einem Netzwerkmonitor wie Firebug die HTTP-Aufrufe untersucht werden. Dort darf sich kein GET-Aufruf mit http einschleichen. Besonders ärgerlich ist das, wenn externe Skripte keine HTTPS-Version zur Verfügung stellen.

Interne URLs ändern

Statische Seiten, Statische Blöcke, Produkttexte, Kategorietexte enthalten oft statische Links die ebenfalls geändert werden sollen. Dafür wird mit einem Datenbankverwaltungsprogramm die Datenbank nach Links durchsucht und ersetzt.

Sind die notwendigen Tabellen gefunden, wird für jede Tabelle folgender Befehl abgesetzt:

UPDATE `table_name` SET `field_name` = replace(same_field_name, 'http://www.your-domain.tld', '<strong>https</strong>://www.your-domain.tld')

Alte Urls Umleiten

Zur Sicherheit, damit kein Linkjuice verloren geht und bestehende Backlinks weiter verwendet werden, leiten wir die alten Nicht-SSL Links um. Am Einfachsten geht das über die .htaccess mit diesen Zeilen:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Zusätzlich tragen wir in die Google Webmaster Tools beide Seiten, sowohl die Version ohne, als auch die mit https ein. Nach einigen Tagen sieht man unter Google-Index -> Indexierungsstatus, wie langsam die http-Seiten aus dem Index verschwinden und den https-Seiten weichen.

Unter Crawling -> Crawling-Statistiken steigt die Anzahl der gecrawlten Seiten, nach der Umstellung rapide an.

Gründe für SSL

  • Positives Ranking-Signal
  • Verschlüsselte Datenübertragung

Nachteile SSL

  • Kosten
    • € 43/Jahr bei easyname.at
    • € 4,90/Monat bei mittwald.at (günstiger im Bundle)
  • Bezahlte Sicherheit kann/will sich nicht jeder Leisten
  • Bietet oft nur die Illusion von Sicherheit

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

Eine Reaktion zu Magento auf SSL umstellen

  1. René
    25.08.2017 at 08:23 · Antworten

    Hallo Andreas

    Vielen Dank für diese klare Anleitung. Gerne würde ich Dich etwas fragen dazu.

    Ich habe das so gemacht und bis auf den Punkt mit der .htaccess funktioniert das auch prima.
    Sobald ich aber die .htaccess um die die Zeilen zur permanenten Weiterleitung ergänze, kann der Shop nicht mehr aufgerufen werden. Fehler: Zu viele Weiterleitungen.
    Was könnte hier das Problem sein?

    Viele Grüsse, René

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.