Kontaktformular SSL oder ganze Website SSL?

**macjag** · 05.01.2017, 08:00

Hallo,
welche Empfehlung habt ihr bzw. Erfahrung bezüglich der Pflicht Kontaktformulare per SSL zu verschlüsseln?
Setzt ihr die ganze Website auf SSL oder nur das Formular?

Was muss ich bei Contao beachten, wenn ich nur die Formularseite per SSL umsetzen möchte.
Bei großen Automobilseiten wird ja auch nur die Formularseite verschlüsselt und damit würde
sich wohl der Aufwand in Grenzen halten.

Freue mich auf Tipps bzw. wie ich es machen sollte.

Viele Grüße
macjag

**planepix** · 05.01.2017, 08:30

Hallo macjag,

wenns der richtige Hoster ist, ist in 2 Minuten Let's encrypt installiert und die gesamte Website läuft über https.

**macjag** · 05.01.2017, 08:37

Zitat von planepix

Hallo macjag,

wenns der richtige Hoster ist, ist in 2 Minuten Let's encrypt installiert und die gesamte Website läuft über https.

Danke für Deine Antwort.

Stimmt fast - die Website muss komplett auf "unsichern Inhalt" geprüft werden,
also alle Bilder, externe Schriften, Videos, Google-Maps usw.,
oder?

VG
macjag

***lucina*** · 05.01.2017, 08:49

Ja, das muss - wenn man es nicht schon vorher so gehalten hat, dass externe Ressourcen wo immer möglich via SSL-Verbindungen geladen werden.

Pro-Tipp: Statt beispielsweise über http://fonts.google.com/meineExterneRessource oder https://fonts.google.com/meineExterneRessource kann man auch direkt über //fonts.google.com/meineExterneRessource einbinden, dann ist das Protokoll jetzt und für alle Zukunft abhängig vom Seitenkontext.

**tschero** · 05.01.2017, 11:33

Hi,

@planepix:

wenns der richtige Hoster ist, ist in 2 Minuten Let's encrypt installiert und die gesamte Website läuft über https.

Hast Du da ein paar genauere Informationen? Die Website kenne ich zwar aber irgendwie komme ich damit noch nicht so klar.

Nebenbei gefragt, ist denn diese Pflicht die Kontaktformulare zu sichern auch notwendig, wenn diese nur per Mail versendet werden?
Wie macht Ihr das bei Websites welche nicht über https laufen?

Gruß
tschero

**planepix** · 05.01.2017, 11:35

Hallo tschero,

ich habe die meisten Seiten bei allinkl. Dort kann ich in den Domainsettings sagen, das ein Zertifikat erstellt werden und dann die Seite über https erfolgen soll.

**tschero** · 05.01.2017, 11:46

Hm,

bei 1und1 habe ich sowas noch nicht erkannt.
Welche Möglichkeiten würden sich denn anbieten um evtl. diese Kontaktformulare oder die ganze Seite zu verschlüsseln/sichern?

Muss es direkt ein SSL Zertifikat sein? Oder macht die Verschlüsselung evtl. der Webserver vom Hoster schon beim versenden der Mails?
Ich persönlich werde damit zum ersten mal konfrontiert(leider).

Gruß
tschero

**tab** · 05.01.2017, 12:01

Schau mal nach im ControlCenter bei 1&1, ob du nicht neuerdings ein "SSL-Starter"-Zertifikat zur Verfügung hast.

***lucina*** · 05.01.2017, 12:06

Wenn ich meine Haustür verriegeln möchte, dann brauche ich einen Schlüssel und ein Schloss, und ich muss sicher sein, dass der Schlüssel der einzig passende ist. Dazu dienen Keys und Zertifikate.

Beim Thema Mail befindest Du Dich im Regelfall innerhalb der Mailserver-Infrastruktur des Providers (es sei denn Du nutzt einen eigenen Mailserver ...). Wenn Du Dich mit Deinem Mailprgramm zu mailserver@provider.org verbindest, dann kann provider.org die Verbindung an sich via Zertifikat & Keys absichern. Das nennt sich dann beispielsweise TLS. Wenn Du einen Nachricht verschlüsseln möchtest, dann ist das keine Frage des Mailservers (dem ist es vollkommen wurst wie die Daten ausschauen, die er auf die Reise schicken soll) sondern eine Frage Deiner persönlichen Verschlüsselungsmöglichkeiten, beispielsweise S/Mime oder PGP oder was auch immer.

Für den Webserver gilt, dass Browser und Webserver eine verschlüsselte Verbindung aushandeln müssen. Dazu brauchen sie öffentlich einsehbare Zertifikate.

Ich kenne keinen seriösen Provider bei dem man ein SSL-Zertifikat nicht auf die eine oder andere Art einbinden könnte - einige grössere Firmen fremdeln allerdings mit Let'sEncrypt ein wenig, weil der Zertifikatehandel ihnen bisher Profite wie im Drogenhandel einbrachte. Da holen sich die Provider dann eben die Dumpingpreise mit den vielen Sternchen zurück. Man kann allerdings bei seriösen Provider auch eigene Zertifikate installieren. Let'sEncrypt automatisiert diesen Prozess - alternativ nutzt man dann halt alle 90 Tage einen Dienst wie https://www.sslforfree.com/. Ist halt mehr Arbeit.