Ob man Websites verschlüsselt oder unverschlüsselt betrachtet, ist für viele Nutzer_innen nicht im Zentrum des Interesses: Man legt einfach los mit „www….“ oder kommt eh über eine Suchmaschine auf die Seiten. Professionelle Websites wie Banken oder Online-Shops leiten die Nutzer_innen zudem mittlerweile automatisch auf verschlüsselte https-Verbindungen weiter, wenn vertrauliche Daten wie Kennwörter oder Bankdaten übertragen werden sollen.
Generell spricht eigentlich nichts dagegen, die Verbindungen von Anfang an automatisch verschlüsselt laufen zu lassen. Und das automatische Umschalten zwischen unverschlüsselter und verschlüsselter Verbindung ist nicht schwierig zu machen – vorausgesetzt ihr verfügt bereits über ein SSL-Zertifikat bei eurem Provider.
Im Hauptverzeichnis eurer Website, also z.B. des ePartools, liegt eine sogenannte .htaccess-Datei. Diese Datei kann zentrale Einstellungen für alle Unterverzeichnisse vorgeben, also z.B. was passiert wenn Seiten nicht gefunden werden. Auch kann man hier Verbindungen automatisch von unverschlüsselt auf verschlüsselt weiterleiten.
Falls die Datei noch nicht existiert, dann legt einfach eine Textdatei mit Namen .htaccess an (ohne .txt-Endung!).
Die einfachste Version zum Umleiten auf die Verschlüsselung lautet:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]
Was passiert da? Die erste Zeile sagt dem Server, dass er die aufgerufenen Seiten nach den folgenden Befehlen umleiten soll. Die „RewriteCond“ beschreibt die Bedingung, wann die folgende Regel zum Tragen kommen soll – also die „RewriteRule“. !^443$ bedeutet dabei nichts Anderes als dass die Verbindung anders als verschlüsselt angefragt wurde – und (.*) bedeutet, dass es alle Arten von Anfragen betrifft. Das [L] am Ende bedeutet, dass die Umleitungsregel hier ebenfalls zu Ende ist.
Die obige Regel funktioniert gut, wenn ihr das ePartool oder eure Website in einer eigenen Domain betreibt. Falls ihr aber nur ein Unterverzeichnis benutzen könnt und zudem unbedingt ein „www.“ am Anfang benötigt (z.B. weil das Zertifikat so ausgestellt ist), dann geht das über folgende Befehle. Statt unterverzeichnis müsst ihr natürlich den richtigen Namen des Unterverzeichnisses eintragen:
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule (.*) https://www.%{HTTP_HOST}/unterverzeichnis/$1 [L]
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/unterverzeichnis/$1 [L]
Ihr wollt es ausprobieren? Klickt auf http://www.dbjr.de – und schon werdet ihr weitergeleitet auf die verschlüsselte https-Verbindung.
Viele Websites lassen weiterhin Zugriffe verschlüsselt und unverschlüsselt zu. Für Browser gibt es eine sehr gute Erweiterung, die Verbindungen automatisch auf Verschlüsselung umstellt: HTTPS Everywhere (https://www.eff.org/https-everywhere)