Anmerkung: Unsere beliebtesten Anleitungen wurden ins Deutsche übersetzt, alle restlichen Anleitungen sind bisher nur auf Englisch verfügbar
Squarespace und SSL

Squarespace stellt kostenlose SSL-Zertifikate für alle Squarespace-Domains und Drittanbieter-Domains zur Verfügung, die auf eine Squarespace-Website verweisen. Da SSL automatisch aktiviert ist, steht Ihren Besuchern jederzeit eine sichere Verbindung zu sämtlichen Seiten Ihrer Website zur Verfügung. Bei aktiviertem SSL sehen Ihre Besucher in ihrem Browser ein Schloss-Symbol neben der URL. Dies zeigt an, dass ihre Informationen sicher sind.

Verwenden Sie das Menü Sicherheit & SSL, um Ihre Einstellungen anzupassen. In dieser Anleitung erfahren Sie, wie Sie eine sichere Verbindung auf Ihrer gesamten Website einrichten. 

Tipp: Wenn Sie einen SSL-Drittanbieter wie CloudFlare nutzen, können Sie auch zum Zertifikat von Squarespace wechseln. Näheres hierzu finden Sie in den häufig gestellten Fragen
Hinweis: Derzeit ist es nicht möglich, eigene SSL-Zertifikate zu installieren.

Was ist SSL?

Secure Sockets Layer (SSL) ist eine Technologie, mit der die Verbindung zwischen Ihrem Browser und der von Ihnen besuchten Website verschlüsselt wird. Prüfen Sie, ob eine URL mit https:// anstatt http:// beginnt und ob ein grünes, geschlossenes Vorhängeschloss als Symbol angezeigt wird, um sicherzugehen, dass die Seite tatsächlich mittels SSL verschlüsselt wird. Besuchern bietet dies die Möglichkeit, über eine verschlüsselte Verbindung auf der Website zu navigieren und Informationen zu übertragen.

SSL bietet drei wichtige Sicherheitsvorteile:

  • Datenschutz: Die Verbindung zwischen Browser und Webserver wird verschlüsselt und Informationen (wie etwa Anmeldedaten) werden auf sichere Art und Weise übertragen, um unbefugte Abhöraktionen durch Dritte zu verhindern.
  • Datenintegrität: Unbefugte Dritte werden daran gehindert, Daten während der Übertragung (wie etwa über einen Form-Block) zu verändern.
  • Authentifizierung: Schutz vor Identitätsdiebstahl, da ein Identitätsnachweis über den Webserver erforderlich ist.

Die SSL-Aktivierung könnte dazu führen, dass Ihre Website schneller lädt, da Squarespace HTTP/2 für SSL-fähige Websites verwendet. Außerdem könnte dies Besuchern erleichtern, Ihre Website zu finden: Im Jahr 2014 kündigte Google an, durch SSL abgesicherte Websites in Suchmaschinenergebnissen potenziell höher einzustufen.

Wie Squarespace SSL verwendet

Wenn Sie eigene Domains verbunden haben und diese Domains auf Ihre Squarespace-Website verweisen, generieren wir automatisch ein SSL-Zertifikat für Ihre Website. Dies bietet Besuchern die Möglichkeit, Ihre Website über eine HTTPS-Verbindung zu betrachten. Bei Squarespace-Domains und Drittanbieter-Domains ist dieses Zertifikat bereits inbegriffen. Mit Ausnahme des Kassenbereichs verwenden wir 2048-bit-SSL-Verschlüsselung und unterstützen Protokolle bis zu TLS 1.2 auf sämtlichen Seiten.

Wenn Sie eine Drittanbieter-Domain verwenden, vergewissern Sie sich, dass sie korrekt verbunden ist und auf Ihre Website verweist, um eine sichere SSL-Verbindung zuzulassen. Überprüfen Sie insbesondere, dass Sie unsere erforderlichen CNAME-Records und A-Records verwenden und dass die Domain auf Squarespace verweist.

Tipp: Sie verwenden möglicherweise veraltete DNS-Einträge. Sollten Ihre Einträge nicht mit den CNAME- und A-Einträgen übereinstimmen, trennen Sie die Verbindung mit der Domain und verbinden Sie sie anschließend wieder.

Während des Ladevorgangs Ihrer Website erscheinen bei aktivierter SSL-Verschlüsselung ein Schloss-Symbol und das Kürzel https:// neben der URL in der Adresszeile des Browsers:

Je nach individuellen Anforderungen beinhaltet Ihre Website zwei SSL-spezifische Sicherheitseinstellungen:

  • Gesichert (Bevorzugt) - Alle Besucher werden auf HTTPS umgeleitet, auch wenn sie die HTTP-Variante der URL in ihren Browser eingegeben haben. Sitemaps enthalten HTTPS-Links und Suchmaschinen indexieren die HTTPS-Variante. Nicht unterstützte Browser können Ihre Website nicht laden.
  • Unsicher - Besucher können Ihre Website sowohl über eine standardmäßige Verbindung (HTTP) als auch über eine abgesicherte SSL-Verbindung (HTTPS) erreichen. Sitemaps enthalten HTTP-Links und Suchmaschinen indexieren die HTTP-Variante. 
Hinweis: Bei RSS-Feeds werden immer HTTP-Links und keine HTTPS-Links verwendet, auch wenn die Einstellung Sicher aktiviert ist. Auf diese Weise sorgen Sie dafür, dass Ihr Feed in Feed-Readern und anderen Services stets lesbar ist.

Wählen Sie eine Einstellung im Menü Sicherheit & SSL aus:

  1. Klicken Sie im Home Menu (Hauptmenü) auf Settings (Einstellungen).
  2. Klicken Sie unter Website auf Security (Sicherheit & SSL).
  3. Wählen Sie unter Sicherheitspräferenz eine Einstellung aus.
Hinweis: Wenn Sie eine Platzhalter-Seite verwenden, klicken Sie auf Security & SSL (Sicherheit & SSL) im Hauptmenü der Platzhalter-Seite und wählen Sie anschließend die gewünschte Einstellung aus.

Nach der Einrichtung der gewünschten Sicherheitseinstellung kann es bis zu 72 Stunden dauern, bis Ihre Website die Aktualisierung übernimmt. 

updated_ssl.jpg

HSTS Secure verwenden

Wenn Sie die Secure SSL-Einstellung verwenden, können Sie zusätzlich HSTS Secure aktivieren. Dies bietet Ihnen ein noch höheres Maß an Sicherheit. Durch Aktivierung von HSTS Secure stellen Sie sicher, dass die Verbindung verschlüsselt wird, und verhindern neben Identitätsdiebstahl auch den Zugriff auf Ihre Website durch potenzielle Angreifer. Wenn Sie sich den Besuch einer Website wie einen Brief vorstellen, der von dem Browser eines Besuchers an Ihre Website versendet wird, zertifiziert HSTS diesen Brief und gewährleistet damit, dass er ausschließlich von dem richtigen Empfänger geöffnet werden kann.

Wenn ein Besucher Ihre Website mit aktivierter HSTS-Option erstmals lädt, erinnert sich der Browser zwecks zukünftigem Zugriff an die abgesicherte Variante der URL. Beim nächsten Besuch Ihrer Website wird der Browser die abgesicherte HTTPS-Variante laden. Solange der Zugriff auf Ihre Website über denselben Browser erfolgt, wird immer die HTTPS-Variante Ihrer Website aufgerufen. Dies gilt auch im Falle eines Wechsels in ein anderes Netzwerk. Ihre Besucher werden auf Ihrer Website keinerlei Unterschiede feststellen. Nur die URL in der Adresszeile des Browsers wird immer mit https:// beginnen.

Wenn Sie die Einstellung Secure (Sicher) für Ihre Website verwenden, empfehlen wir eine Aktivierung von HSTS Secure. Es könnte jedoch sinnvoll sein, die Einstellung Unsicher zu verwenden, wenn Ihre Besucher Zugriff über HTTP benötigen oder Ihre Website einen hohen Anteil von gemischten Inhalten aufweist.

Hinweis: Wenn Sie auf die Einstellung Unsicher wechseln müssen, vergewissern Sie sich, dass die Domain ein gültiges SSL-Zertifikat aufweist. Auch fehlerhafte Zertifikate können Browser-Fehler bei Ihren Besuchern verursachen.

Ältere Browser

Einige ältere Browser unterstützen die hohen Sicherheitsstandards unserer SSL-Zertifikate nicht. 

Zu den nicht unterstützten Browsern zählen:

  • Alle Versionen des Internet Explorer unter Windows XP
  • Ältere Versionen als Internet Explorer 7
  • Ältere Versionen als Firefox 2.0
  • Ältere Versionen als Safari 2.1
  • Alle älteren Versionen als Google Chrome 6

Zu den nicht unterstützten mobilen Browsern zählen:

  • Alle Safari-Versionen, die auf älteren Versionen als iOS 4.0 ausgeführt werden
  • Alle Browser, die auf einer älteren Version als Android 3.0 (Honeycomb) ausgeführt werden
  • Alle Browser, die auf einer älteren Version als Windows Phone 7 ausgeführt werden

Besucher, die Ihre Website in diesen Browsern aufrufen, könnten möglicherweise Schwierigkeiten haben, die abgesicherte HTTPS-Variante Ihrer Website zu laden. In einigen Fällen kann es sein, dass sie überhaupt nicht lädt.

Wir empfehlen daher, zum Öffnen oder Bearbeiten von Squarespace-Websites aller Art einen unterstützten Browser zu verwenden, um derartige Probleme zu vermeiden.

Gemischte Inhalte

Einige Seiten Ihrer Website weisen unter Umständen gemischte Inhalte auf. Das bedeutet, dass die Seite zwar über eine abgesicherte HTTPS-Verbindung, integrierte Inhalte oder Drittanbieter-Anpassungen jedoch nur über eine unsichere HTTP-Verbindung geladen werden. Gemischte Inhalte auf Ihrer Website beeinträchtigen die HTTPS-Sicherheit. 

Wenn Sie die SSL-Einstellung Secure (Sicher) für Ihre Website wählen, zeigt Ihr Browser beim Laden von gemischten Inhalten unter Umständen eine Warnmeldung an. Um dies zu vermeiden, können Sie die SSL-Einstellung Insecure (Unsicher) wählen oder alternativ mit anderen Blöcken arbeiten, die sichere Inhalte unterstützen.

SSL und Commerce

Wenn Sie Produkte über Squarespace Commerce vertreiben, wird Ihre Kassenseite mittels SSL geschützt, damit die Kreditkartendaten Ihrer Kunden jederzeit sicher sind. Unsere Kassenseiten entsprechen den Level 1 PCI-Richtlinien und nutzen 128-bit-SSL-Verschlüsselung.

When a customer checks out on your store, they’ll see a lock icon in their browser. If your site is on the Commerce Basic or Advanced plan and you have the Secure SSL setting enabled, they’ll also see your custom domain in the checkout URL. To learn more, visit Checkout on Your Domain.

Note: If your site is using the Insecure setting, your URL will start with https://secure.squarespace.com, even if the site is on the Commerce Basic or Advanced plan. The checkout page is still secure for your customers, but it won’t support your custom domain.

Statusfehler bei Zertifikaten

Wenn bei der Erstellung eines Zertifikats für Ihre Domain Probleme auftreten, wird im Menü Sicherheit & SSL eine Fehlermeldung angezeigt.

Blau: In Bearbeitung

Wenn die Meldung mit einem blauen ! gekennzeichnet ist, befindet sich das SSL-Zertifikat noch in Bearbeitung. Es kann bis zu 72 Stunden dauern, bis das Zertifikat generiert und vollständig mit einer neuen Domain verbunden wurde. Daher ist in den meisten Fällen lediglich etwas Wartezeit erforderlich.

Auf diese Meldung werden Sie in der Regel stoßen, wenn Sie kürzlich:

  • eine Squarespace-Domain registriert haben.
  • eine Domain zu Squarespace übertragen haben.
  • eine Domain eines Drittanbieters verbunden haben.

Unter Umständen kann es auch hilfreich sein, das Zertifikat zu aktualisieren. Sobald Sie die DNS-Einstellungen öffnen, wird der Status automatisch aktualisiert:

  • Wenn Sie eine Squarespace-Domain verwenden, klicken Sie im Domain-Menü auf die gewünschte Domain und dann auf Advanced Settings (Erweiterte Einstellungen).
  • Klicken Sie auf die Domain im Domain-Menü und anschließend auf DNS Settings (DNS-Einstellungen), wenn Sie eine Domain eines Drittanbieters verwenden. 

Wenn sich der Status nach der Aktualisierung nicht ändert, wird noch etwas Zeit zur Generierung des Zertifikats benötigt. 

 

ssl_pending_status.jpg

Rot: Ein Problem muss behoben werden

Wenn die Fehlermeldung ein rotes ! enthält, bedeutet dies, dass wir kein SSL-Zertifikat für die gelisteten Domains generieren konnten. Dieser Fehler tritt in der Regel auf, wenn die Domain nicht ordnungsgemäß auf Ihre Website verweist.

ssl_certificate_error.jpg

 

Häufig gestellte Fragen

Welche Einstellung sollte ich verwenden?

Die besten Einstellungen für Ihre Website richten sich nach dem Inhalt Ihrer Website und der Art der erwarteten Besucher. Für die meisten Benutzer empfiehlt sich eine Aktivierung der Einstellung Secure (Sicher) inklusive HSTS. Dies sorgt für eine sichere Verbindung zu allen unterstützten Browsern.

Benötige ich zur Nutzung von SSL eine Squarespace-Domain?

Nein. SSL steht für Squarespace-Domains aller Art sowie für Drittanbieter-Domains zur Verfügung, die mit Ihrer Website verbunden sind. Wenn Sie eine Drittanbieter-Domain haben, vergewissern Sie sich, dass diese ordnungsgemäß mit Ihrer Website verbunden ist. Überprüfen Sie hierzu die CNAME- und A-Records.

Kann ich ein eigenes Zertifikat verwenden?

Leider ist es derzeit nicht möglich, eigene SSL-Zertifikate auf einer Squarespace-Website zu installieren.

Funktioniert SSL auch in Subdomains?

Ja. Squarespace generiert ein Zertifikat für jede eigene Domain und Subdomain, die mit Ihrer Website verbunden ist. Ob es sich dabei um eine Squarespace-Domain oder eine Domain eines Drittanbieters handelt, spielt keine Rolle. Dies gilt auch für die „www“-Variante Ihrer Domain, sofern Sie diese getrennt von Ihrer „blanken“ Domain verwenden. 

Wenn Sie Ihre Subdomain als primäre Domain Ihrer Website verwenden, sollten Sie das Häkchen neben Use WWW Prefix (WWW-Präfix verwenden) entfernen, um Zertifikatsfehler zu vermeiden. 

Wenn Sie eine Drittanbieter-Domain haben, vergewissern Sie sich, dass diese über das Domain-Menü mit Ihrer Website verbunden ist und von keinem anderen Standort weitergeleitet wird.

Funktioniert SSL in mobilen Browsern?

Ja. Ihre Website ist weiterhin durch SSL geschützt, sofern Ihre Besucher einen unterstützten Browser verwenden.

Verlangsamt SSL meine Website?

Es könnte sein, dass Sie bei Verwendung von HTTPS kleinere Abweichungen bei der Ladezeit Ihrer Website bemerken. Es dauert etwas, bis das Zertifikat über die sichere Verbindung authentifiziert und die Website validiert wird. In den meisten Fällen beträgt der Unterschied jedoch nur wenige Sekunden.

Wenn Sie erhebliche Unterschiede bei der Ladezeit bemerken, machen Sie von unseren Schritten zur Fehlerbeseitigung Gebrauch, um etwaige andere Website-Probleme auszuschließen, wie beispielsweise im Zusammenhang mit überladenen Seiten oder benutzerdefiniertem Code. 

Für meine Drittanbieter-Domain wird ein Zertifikatsfehler angezeigt, obwohl meine DNS-Einstellungen korrekt sind. 

Wenn Ihre Drittanbieter-Domain eine Fehlermeldung verursacht und Sie Ihre Einträge bereits überprüft haben, sind wir aufgrund eines Problems mit Ihrem Domain-Anbieter möglicherweise nicht in der Lage, ein Zertifikat auszustellen. Zur Fehlerbehebung empfehlen wir eine der folgenden Optionen:

Ich sehe eine Browser-Warnung, wenn ich meine Domain aufrufe. 

Wenn Sie im Menü Sicherheit & SSL die Einstellung Secure (Sicher) gewählt haben, wird Ihnen beim Aufruf Ihrer Domain unter Umständen ein Datenschutzhinweis angezeigt. Je nach Browser könnte die Meldung „Ihre Verbindung ist nicht privat“, „Ihre Verbindung ist nicht sicher“ oder ähnlich lauten. Die Meldung erscheint, wenn Ihr Browser unsichere Inhalte auf einer Seite erkennt.

Befolgen Sie unsere Schritte zur Fehlerbeseitigung, um dieses Problem zu beheben und Ihre Website auf gemischte Inhalte oder einen Zertifikatsfehler zu überprüfen. Wenn weiterhin Probleme auftreten, überprüfen Sie Ihren Browser auf etwaige Fehler

Ich nutze einen SSL-Drittanbieter für meine Website. Sollte ich den Dienst deaktivieren?

Wenn Sie einen externen SSL-Anbieter wie CloudFlare einsetzen, können Sie den Dienst deaktivieren und stattdessen den automatischen SSL-Schutz für eigene Domains von Squarespace verwenden. Beachten Sie jedoch, dass Squarespace erst ein Zertifikat für Ihre Domain generieren kann, wenn Ihre Domain auf unsere Server verweist. Der bestehende HTTPS-Datenverkehr Ihrer Website ist nicht erreichbar, während DNS-Änderungen übertragen werden und Squarespace das Zertifikat generiert. Während dieses Zeitraums wird Ihnen im Menü Sicherheit & SSL unter Umständen ein Zertifikatsfehler angezeigt. 

Erscheint meine eigene Domain auf der Kassenseite in Commerce?

Yes. If your site is on the Commerce Basic or Advanced plan and using the Secure SSL setting, your customers will see your custom domain during checking. If you’re using the Insecure setting, they’ll see a URL beginning with https://secure.squarespace.com… instead.

Wird HPKP auf Websites mit aktiviertem SSL unterstützt?

Nein. HTTP Public Key Pinning (HPKP) wird von Squarespace nicht unterstützt.

Muss ich ein CSR erstellen, um SSL mit Squarespace zu nutzen?

Nein. Squarespace generiert automatisch ein SSL-Zertifikat für jede Domain, die ordnungsgemäß mit Ihrer Website verbunden ist. Daher besteht keine Notwendigkeit, ein Certificate Signing Request (CSR) zur Generierung eines Zertifikats zu verwenden.

Kann ich SSL auf meiner Squarespace 5-Website aktivieren?

Nein. Squarespace aktiviert SSL ausschließlich für eigene Domains unter Squarespace 7.

Kann ich SSL deaktivieren?

Es ist nicht möglich, SSL-Zertifikate für Ihre eigenen Domains zu entfernen. Mit diesen Zertifikaten gewährleisten Sie die Sicherheit Ihrer Website und bieten Besuchern ein bestmögliches Erlebnis. Sie können jedoch die Einstellung Insecure (Unsicher) für Ihre Website wählen. In diesem Fall können Daten auch über die standardmäßige HTTP-Verbindung übertragen werden.

War dieser Beitrag hilfreich?
87 von 163 fanden dies hilfreich