Letzte Woche habe ich meiner Website ein neues Template gegönnt und einige Modernisierungen vorgenommen. Diese Woche nun wollte ich mich um einige Blogbeiträge kümmern, die bereits eine Weile auf ihre Vollendung warten. Doch ihr merkt schon: Da lag ein Aber in der Luft, und das kam an der Schnittstelle beider Wochen mit einer Idee daher. Wie wäre es, wenn ich, wo ich doch schon auf dem Webserver herumsortiere, mir gleich noch ein SSL-Zertifikat gönne, damit der Browser aufhört, die Verbindung zu meiner Autorenseite als unsicher zu bemängeln? Die Kosten sind überschaubar und allerorten wird empfohlen, mit Verschlüsselung zu arbeiten. Also ran, an das Bestellformular, und schnell wird die Sache erledigt sein.
Denkste! Die Sache wuchs sich in ein nerviges und zeitraubendes Abenteuer aus. Ich rate jedem, sich nicht ohne Vorbereitung oder mit jemandem zur Seite, der sich zumindest in Ansätzen auskennt, an dieses Projekt zu machen. Ich war blauäugig, habe mein Lehrgeld gezahlt und bin nun endlich (und glücklich) am Ziel. Ich meinte, die Umstellung würde lautlos und vorwiegend automatisch vor sich gehen. Doch immer wieder wurde meine direkte Mitwirkung abgewartet und gab es einige Meter Anleitung zu lesen.
Gut, ich will hier nichts aufbauschen. Kann sein, es lag einfach daran, dass ich auf meinem gemieteten Webspace die WordPress-Umgebung (schon vor Jahren) selbst installiert habe. Kann sein, ein paar Parameter und Einstellungen sind nicht ganz korrekt, doch ich habe getreulich alle Updates geladen und die Seite funktioniert. Heute stehen vermutlich alle Websites komplett konfiguriert und schlüsselfertig bereit – mit Domain, Serverplatz, Content-Management, SSL und allem Drum und Dran. Wer jedoch, wie ich, alte Bestände hat und nachrüsten muss, sollte sich für das Vorhaben ein paar Tage mit Luft und Muße suchen.
Mir geht es nicht darum, hier eine Anleitung zu entwerfen. Ich möchte nur kurz skizzieren, welche Hürden es zu meistern galt. Zunächst einmal, wenn die Bestellung raus ist, dauert es etwas, bis das Zertifikat bestätigt werden kann. Per Mail kommen Aufforderungen, die Domain zu verifizieren, wobei sich mein Provider und der Zertifikate-Aussteller parallel melden und sich auch noch gegenseitig widersprechen. So meint der eine, was der andere sagt, sei nicht mehr aktuell. Mich verunsicherte das und ich musste mich erst einmal in die FAQ einlesen, was man bitte von mir erwartet. Es endete damit, dass ich den ganzen Auftrag stornierte und noch einmal ganz von vorn anfing. Ich hatte gelernt, verstanden und dann den richtigen Button im Admin-Bereich gefunden. Nach ein paar Tagen war ich als Besitzer der Domain akzeptiert und man schickte mir das Zertifikat – eine Mail voll mit Datensalat und ich dachte erst, ich müsse das nun aus der Mail auf den Server kopieren, doch zum Glück stand die Zeichengirlande dort schon bereit und ich brauchte sie nur noch mit meinem Webspace verknüpfen – an einem verborgenen Ort, tief im Verzeichniskeller, Stufe für Stufe der Anleitung folgend. Mir ist unbegreiflich, warum man das nicht für seine Kunden als Service im Hintergrund erledigen kann, nachdem alles verifiziert, bestätigt, rückversichert und bezahlt ist.
Ich gehe zu sehr ins Detail, merke ich gerade. Also straffe ich: Nach zwei Tagen Wartezeit sollte das Zertifikat aktiv sein. Zum ersten Mal gab ich HTTPS:// im Browser ein und es funktionierte. Doch schon beim übernächsten Klick gab es wieder eine Warnung und in den Blogbeiträgen waren die Bilder verschwunden. Denn, ist ja klar, auch WordPress musste angepasst werden. Das ging in den Grundeinstellungen im Handumdrehen, doch direkte Linkverweise innerhalb des Blogs und zu den Bildern in der Mediathek lauteten alle noch auf das alte Protokoll und wollten geändert werden – immer einer nach dem anderen. Mit „suchen“ und „ersetzen“ in die Datenbank zu gehen, habe ich mich nicht getraut.
Der Blog selbst war nun fit, die Links funktionierten. Nur vom Browser aus klemmte es: Der Aufruf meiner eigenen Domain führte immer zu den alten Links mit der unsicheren Verbindung. Wenn ich www.lutz-schafstaedt.de eingab, wurde sogar eine Fehlerseite angezeigt: Nix gefunden! Die in den Suchmaschinen vorhandenen Referenzen waren natürlich auch alle mit alten Links versehen. Ich machte mich also wieder an die Recherche. Ich hantierte etwas mit der Google Search Console herum und entschloss mich dann, dem Rat zur Einrichtung einer 301-Weiterleitung zu folgen. Klingt kompliziert, oder? Dafür muss man mit einem FTP-Programm auf den Server und im Hauptverzeichnis einen Eintrag in die htaccess-Datei machen. Diese Datei ist unsichtbar, man muss die Anzeige erst erzwingen – und wenn sie nicht erscheint, dann gibt es sie nicht und man sollte sie erstellen. Reicht es? Ja, mir auch. Ich habe die Parameter eingetragen und nun wird jede auf meinem Webserver angefragte Seite als HTTPS ausgeliefert. Ich habe es probiert, in allen denkbaren Varianten – und es hat geklappt. Just in diesem Moment glaube ich, alles korrekt erledigt zu haben.
Meine Seiten sind sicher und sie können gefunden werden. Puh, ich bin froh. Für alle, die sich dieser Aufgabe noch stellen wollen, verrate ich hier den Link zu einem Artikel, der mir sehr geholfen hat. Hätte ich gleich gewusst, wie viele Punkte es zu beachten gibt, wäre ich mit mehr Respekt und vor allem mit Vorbereitung ans Werk gegangen: Umstellung von HTTP auf HTTPS – Auf diese Punkte sollten Sie achten!
