Uns erreichen in letzter Zeit immer wieder Fragen rund um das Thema „HTTPS-VerschlĂŒsselung“. Da eine verschlĂŒsselte DatenĂŒbertragung mit Hilfe eines SSL-Zertifikats in Zukunft immer bedeutender wird, wollen wir in diesem Artikel auf die wichtigsten Punkte dazu eingehen und klĂ€ren, ob und wie du deine Website auch auf HTTPS umstellen solltest.

Wenn du schon weisst, was HTTPS bedeutet und dass du umstellen willst, kannst du gleich zum zweiten Teil springen: Website auf HTTPS umstellen in 6 Schritten.

Was ist HTTPS und warum wird es immer wichtiger?

HTTPS steht fĂŒr „HyperText Transfer Protocol Secure“ und beschreibt die verschlĂŒsselte Übertragung von Daten zwischen Browser und Webserver. Fehlt das „S“ (Secure) und eine Website wird nur via HTTP erreicht, können andere Personen innerhalb des gleichen Netzwerks die ĂŒbertragenen Daten lesen.

Durch die steigende VerfĂŒgbarkeit von frei verfĂŒgbaren WLAN-Netzwerken wĂ€chst auch die Menge an sensiblen Daten im Word Wide Web.

Hacker und InternetbetrĂŒger sind sich dessen bewusst und versuchen mit verschiedenen Methoden an die ĂŒbertragenen Daten zu gelangen.  Deshalb werden verschlĂŒsselte Verbindungen immer wichtiger. Außerdem bestĂ€tigt Google offiziell (Punkt 3 unter “Migration von HTTP zu HTTPS), dass sich eine HTTPS-Umstellung positiv auf das Ranking einer Website auswirkt.

Zur Auswirkung auf Suchmaschinen gehen wir am Ende des Artikels noch ausfĂŒhrlicher ein.

Woran erkenne ich eine sichere Verbindung via HTTPS?

Die VerschlĂŒsselung einer Website durch HTTPS wird in den meisten Browsern mit einem grĂŒnen Schloss-Symbol signalisiert. Seiten ohne VerschlĂŒsselung werden dagegen zunehmend von Browsern als unsicher markiert und mit Warnhinweisen versehen.

Scrollt man durch die Ergebnisse einer Suchmaschinenanfrage, wird hĂ€ufig die komplette Adresse einer Seite angezeigt. Schon hier lĂ€sst sich die Art der Verbindung aus der URL herauslesen. Browser-Plugins wie zum Beispiel „Avast Online-Security“ geben zusĂ€tzliche optische Hinweise ĂŒber die Sicherheit einer Website.

Wann ist HTTPS Pflicht?

NatĂŒrlich geht es nicht nur darum, dass eine Website nach der Umstellung auf HTTPS sich mit einem grĂŒnen Schloss in der Adresszeile des Browsers schmĂŒcken darf.

Seit Januar 2016 empfiehlt das Bundesministerium fĂŒr Verbraucherschutz deutschen Websitenbetreibern eine sichere Verbindung durch HTTPS einzurichten.

Dazu gehören alle Websites die personenbezogene Daten ĂŒber ein Kontaktformular direkt auf der Seite erheben. So beim Online-Banking, in Online-Shops und auch auf jeder Website, die ein Kontaktformular und/oder einen Newsletter in Zusammenhang mit einer Dienstleistung anbietet. Weitere Infos zu den neuen Datenschutzrichtlinien findest du hier.

Auch aufgrund der gesetzlichen Entwicklung empfehlen wir allen Betreibern von Websites mit Kontaktformular oder anderen Formen der Eingabe von personenbezogenen Daten eine HTTPS-Verbindung.

Gibt es eine Abmahngefahr bei Kontaktformularen ohne VerschlĂŒsselung?

Dr. Ronald Kandelhard, Mitglied in unserem ACB-Netzwerk und Fachanwalt fĂŒr Handels- und Gesellschaftsrecht, der unter www.easyrechssicher.de einen Premium Datenschutz- und Impressums-Generator sowie alle Informationen fĂŒr rechtssichere Websites anbietet schreibt dazu folgendes:

„Nach § 13 Abs. 7 TMG hat jeder Website-Betreiber sicher zu stellen, dass personenbezogene Daten des Nutzers nur verschlĂŒsselt ĂŒbertragen werden. Daher sind Websites auf denen Kontaktformulare oder andere Formen der Eingabe von personenbezogenen Daten angeboten werden, mit einer SSL-VerschlĂŒsselung (https://) zu versehen. Kostenlose Zertifikate dafĂŒr werden bereits angeboten. Sie sollten bereits deshalb verwendet werden, weil sie von Google beim Ranking bevorzugt werden, aber vor auch, weil VerstĂ¶ĂŸe gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG gem. § 16 Abs. 2 Nr. 3 TMG ordnungswidrig sind. Dies kann nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden. Es gibt bereits LandesĂ€mter fĂŒr Datenschutz, die entsprechende Warnungen und ggf. Bußgelder ausbringen.“ï»ż

WordPress und HTTPS

Auch die Entwickler hinter dem freien Content-Management-System WordPress setzen auf Sicherheit und wollen die Umstellung von WordPress-Websites auf HTTPS vorantreiben.

Laut dem leitenden WordPress-Entwickler Matt Mullenweg sind fĂŒr 2017 weitere Schritte Richtung HTTPS fĂŒr WordPress geplant. So wird WordPress ĂŒber kurz oder lang weniger kompatibel mit unverschlĂŒsselten Verbindungen sein. Perspektivisch sollen manche WordPress-Funktionen die VerschlĂŒsselung mit https zwingend voraussetzen.

Professionelle SEO-Analyse & Erstellug eines Actionplans gewĂŒnscht?

Wir bieten:

- Analyse Ist-Zustand Website (Auswertung Ranking etc.)
- aktualisierte Keyword- und Wettbewerbsanalyse, daraus resultierende Empfehlungen zur Suchmaschinenoptimierung
- kurze Potentialanalyse von SEO im Vergleich zu weiteren Online-Marketing-Maßnahmen
- Actionplan mit 2 Follow-Up-Terminen (je bis zu 30min innerhalb eines Monats) zur Begleitung der Online-Marketing-Maßnahmen

 

Preis: ab 800 Euro netto

Wie erhÀlt man ein (kostenloses) HTTPS-Zertifikat?

Bei der Auswahl eines SLL-Zertifikats ist es wichtig, einen Anbieter zu wĂ€hlen, der in allen Browsern als „vertrauenswĂŒrdige‘“ Zertifizierungsstelle anerkannt ist. In den meisten FĂ€llen bietet es sich an, das Zertifikat nicht direkt bei einer Zertifizierungsstelle zu beziehen, sondern es ĂŒber den eigenen Webhosting-Anbieter einzurichten.

Entsprechend sollte schon bei der Wahl des Webhosting-Anbieters darauf geachtet werden, dass dieser die passenden Zertifikate im Angebot hat oder zumindest die einfache und kostengĂŒnstige Einbindung von anderweitig bezogenen Zertifikaten erlaubt.

Bei der Auswahl des passenden Zertifikats ist es wichtig, sich die zwei ganz unterschiedlichen Funktionen von SSL-Zertifikaten klar zu machen: VerschlĂŒsselung und IdentitĂ€tsprĂŒfung.

Ein billiges oder kostenloses Zertifikat verschlĂŒsselt nicht besser als ein teures. FĂŒr die meisten Websites ist ein kostenloses Zertifikat eine gute und völlig ausreichende Wahl.

Deshalb unterstĂŒtzen viele wichtige Unternehmen wie Google, Mozilla, Facebook oder Automattic (das Unternehmen hinter WordPress) die kostenlose Zertifizierungsstelle Let’s Encrypt. Webhosting-Anbieter wie All-Inkl erlauben es, mit wenigen Klicks alle verwendeten Domains mit einem Let’s Encrypt-Zertifikat zu versehen - das ist der Idealfall. Immer mehr andere Webhosting-Anbieter haben inzwischen wenigstens ein kostenloses Zertifikat als Teil des Hosting-Pakets.

Manchmal ist es aber nicht nur wichtig, Daten verschlĂŒsselt zu ĂŒbertragen, sondern auch zu wissen, dass sich hinter der besuchten Website, der man etwa seine Kontodaten schickt, auch tatsĂ€chlich der gewĂŒnschte Besitzer bzw. Betreiber steht. Bei kostenlosen oder billigen Zertifikaten wird keine nennenswerte IdentitĂ€tsprĂŒfung vorgenommen, meist reicht die Angabe einer E-Mail-Adresse.

Bei Zertifikaten, wie sie von großen Webshops oder Banken verwendet werden, wird die IdentitĂ€t vor Ausstellung des Zertifikats dagegen genau geprĂŒft, und entsprechende Informationen lassen sich auch durch Klick auf das Infosymbol im Browser anzeigen. Es kann sogar der Name des Unternehmens neben der Browserleiste angezeigt werden:

Je nach Genauigkeit der IdentitĂ€tsprĂŒfung können erhebliche jĂ€hrliche Kosten im drei bis vierstelligen Bereich fĂ€llig werden, die Preisunterschiede der verschiedenen Anbieter sind erheblich. Hier lohnen sich also Preisvergleich und genaue AbwĂ€gung der benötigten IdentitĂ€tsprĂŒfung.

Wenn Sie einen Webshop mit nicht unerheblichen UmsĂ€tzen betreiben, sollten Sie prĂŒfen, ob eine Investition in ein Zertifikat mit echter IdentitĂ€tsprĂŒfung sinnvoll oder notwendig ist.

Wie funktioniert die Umstellung von HTTP zu HTTPS?

Das manuelle einbinden eines Zertifikats ist nur möglich, wenn man vollen Zugriff auf den genutzten Server hat. Übersichtliche Anleitungen finden sich auf ssl-trust-com. Bei den meisten Webhosting-Paketen wird dieser Schritt aber vom Webhosting-Anbieter ĂŒbernommen, oder man kann Zertifikate leicht ĂŒber die BenutzeroberflĂ€che erstellen (kaufen) und aktivieren, wenn man sich in seinen Webhosting-Account eingeloggt hat.

In 6 Schritten: Website auf HTTPS umstellen

Nach der Installation des HTTPS-Zertifikats gilt es, einige Kniffe zu beachten um Fehler zu vermeiden. Folgende Punkte sind bei der Umstellung einer Website auf HTTPS zu beachten:

1. Serverseitige Einrichtung/Korrekte Weiterleitung einrichten

Eine saubere Umleitung auf HTTPS erfolgt durch einen 301-Redirect. Dadurch wird vermieden, dass Google und andere Suchmaschinen die HTTP- und HTTPS-Seite als zwei verschiedene Seiten werten. Generell ist es ratsam, nicht nur die Landingpage/Startseite der Homepage oder die Shopseite sondern auch alle Unterseiten in die HTTPS-Umleitung zu integrieren.

Ein 301-Redirect kann z.B. per Eintrag in die .htaccess-Datei erfolgen, falls wie meist ein Apache-Server verwendet wird. Der folgende Eintrag erzwingt HTTPS fĂŒr alle Seiten:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}

Sollte dieser Schnipsel nicht funktionieren, finden sich im Netz zahlreiche Seiten, auf denen Lösungen fĂŒr eine Weiterleitung von http auf https angeboten und diskutiert werden, z.B. hier.
Viele Webhosting-Anbieter ermöglichen auch bei den SSL-Optionen leicht das „erzwingen“ von https durch setzen eines entsprechenden HĂ€kchens.

2. Unsichere Inhalte vermeiden

Um Mixed Content Warnings zu vermeiden (Warndreieck statt grĂŒnem Schloss in Adresszeile des Browsers), sollte darauf geachtet werden, dass alle Ressourcen (Bilder, Videos, CSS, JS, Webfonts) ebenfalls per https:// geladen werden. Das gilt fĂŒr interne, aber auch fĂŒr externe Ressourcen, also z.B. die Pfadangaben beim Google-Maps-Script oder einem eingebundenen YouTube-Video. Je nachdem, wie sauber programmiert und wie komplex eine Seite ist, kann dies ein kurzer und problemloser Vorgang sein, es kann aber auch einiges Nacharbeiten an zahlreichen verschiedenen Stellen in den Dateien und in der Datenbank nötig werden.

3. Crawling- und Indexierungsfehler vermeiden

Beim Umstellen sollte darauf geachtet werden, dass die Datei robots.txt nicht das Crawling der HTTPS-Seiten blockiert. Um die Möglichkeit der Indexierung der Seiten zu gewĂ€hren, sollte auch die Verwendung des Wertes „noindex“ im Robots-Meta-Tag in HTML vermieden werden. Werden diese Punkte nicht beachtet, werden die auf HTTPS umgestellten Seiten nicht von Google indexiert und folglich auch nicht korrekt gerankt.

4. HTTPS in Google Search Console eintragen

Nach dem erfolgreichen Umstellen auf HTTPS muss die URL (mit HTTPS) erneut via Google Webmastertools in die Search Console eingetragen werden. Auch die XML-Sitemap sollte erneut eingereicht werden.

Indexiert Google eine Seite, die in HTTP und HTTPS erreichbar ist und ĂŒber den gleichen Inhalt verfĂŒgt, wird laut Google die HTTPS-Seite bevorzugt. Generell wird empfohlen, sollten nicht alle Seiten auf HTTPS umgestellt werden, diese auch nochmal via Google Search Console zu indexieren.

5. Ranking der Website wÀhrend des Umzugs

Wie bei allen grĂ¶ĂŸeren Änderungen an einer Website, kommt es meist auch bei der Umstellung auf HTTPS zu Schwankungen im Ranking. Laut Google lassen sich kurzfristige Rankingverluste bei grĂ¶ĂŸeren Änderungen einer Website aber nicht vermeiden.

6. Abgelaufene Zertifikate

Auch der Status des fĂŒr die Umleitung verwendeten SSL-Zertifikats sollte immer geprĂŒft werden. Ist dieses ungĂŒltig oder abgelaufen, wird jeder Besucher der Website durch seinen Browser ĂŒber die unsichere Verbindung gewarnt. Somit verfehlt das erworbene Zertifikat seinen Nutzen. Wir empfehlen also dringend, die GĂŒltigkeit des Zertifikats zu beachten und rechtzeitig ein neues Zertifikat einzubinden! Am leichtesten ist dies möglich, wenn man das Zertifikat bei seinem Webhosting-Anbieter erwirbt und dabei die Option fĂŒr automatische VerlĂ€ngerung wĂ€hlt.

Inwieweit beeinflusst die Umstellung auf HTTPS das Google-Ranking?

WĂ€hrend der Umstellung der Website auf HTTPS kommt es meist, wie bei jeder grĂ¶ĂŸeren Änderung auf einer Website, zu Schwankungen im Ranking bei Suchmaschinen. Diese meist kurzfristigen Einbußen machen sich langfristig aber bezahlt, denn laut Google wertet die Suchmaschine seit 2014 eine HTTPS-Verbindung als positiv. Allerdings dĂŒrfen keine großen Änderungen im Ranking erwartet werden. Langfristig hĂ€lt sich Google aber offen, ob HTTPS-Verbindungen noch stĂ€rker gewertet werden.

Vor einigen Jahren verbuchten die HTTPS-Umleitungen noch etwas mehr Ladezeit. Dieses Problem ist aber mittlerweile vollstÀndig behoben.

Werden alle unter Punkt 5 genannten Schritte beachtet sollten durch den Umzug keine negativen Tendenzen im Ranking auftreten. Wichtig sind saubere Überleitungen durch einen 301-Redirect und das PrĂŒfen der ursprĂŒnglichen HTTP-robot.txt.

Die Website auf HTTPS umstellen und verschlĂŒsseln? – Unser Fazit

Ganz klar: Die Zeichen stehen eindeutig fĂŒr eine Umstellung auf HTTPS. Nicht nur, dass der oben erwĂ€hnte Auszug aus dem Telemediengesetz uns Websitebetreiber dazu anhĂ€lt, sichere Verbindungen einzurichten, auch das „Image“ der Seite ist durch die VerschlĂŒsselung langfristig ein besseres.

Gerade Betreiber, die auf Besucher ĂŒber Suchmaschinen-Ergebnisse zĂ€hlen, sollten eine verschlĂŒsselte Verbindung in ErwĂ€gung ziehen. Ohne HTTPS werden nicht nur positive Signale an die Suchmaschinen vergeben, zudem bevorzugen Nutzer unter UmstĂ€nden eine verschlĂŒsselte Website.

Aber das “https://” mit dem grĂŒne Schloss in der URL-Browserleiste schafft nicht nur bei Besuchern Vertrauen und stimmt die Suchmaschinen positiv – letztendlich geht es vor allem auch um die Datensicherheit der Besucher auf der eigenen WebprĂ€senz.

Der Nachteil fĂŒr viele Webmaster ist sicherlich der unter UmstĂ€nden zeitintensive Umzug auf HTTPS. Je nach Webhost kann es passieren, dass die Umstellung komplett manuell vorgenommen werden muss. Dazu gehört dann nicht nur etwas Geduld, sondern auch Know-How.

Eine neue Website steht an oder eure alte brÀuchte mal wieder einen neuen Anstrich?

Schreibt uns ein wenig ĂŒber euch und euer Projekt, damit wir schon bald gemeinsam launchen können. Wir freuen uns auf neue Herausforderungen!


Let’s go!