Uns erreichen in letzter Zeit immer wieder Fragen rund um das Thema „HTTPS-Verschlüsselung“. Da eine verschlüsselte Datenübertragung mit Hilfe eines SSL-Zertifikats in Zukunft immer bedeutender wird, wollen wir in diesem Artikel auf die wichtigsten Punkte dazu eingehen und klären, ob und wie du deine Website auch auf HTTPS umstellen solltest.
Wenn du schon weisst, was HTTPS bedeutet und dass du umstellen willst, kannst du gleich zum zweiten Teil springen: Website auf HTTPS umstellen in 6 Schritten.
Was ist HTTPS und warum wird es immer wichtiger?
HTTPS steht für „HyperText Transfer Protocol Secure“ und beschreibt die verschlüsselte Übertragung von Daten zwischen Browser und Webserver. Fehlt das „S“ (Secure) und eine Website wird nur via HTTP erreicht, können andere Personen innerhalb des gleichen Netzwerks die übertragenen Daten lesen.
Durch die steigende Verfügbarkeit von frei verfügbaren WLAN-Netzwerken wächst auch die Menge an sensiblen Daten im Word Wide Web.
Hacker und Internetbetrüger:innen sind sich dessen bewusst und versuchen mit verschiedenen Methoden an die übertragenen Daten zu gelangen. Deshalb werden verschlüsselte Verbindungen immer wichtiger. Außerdem bestätigt Google offiziell (Punkt 3 unter Migration von HTTP zu HTTPS), dass sich eine HTTPS-Umstellung positiv auf das Ranking einer Website auswirkt.
Zur Auswirkung auf Suchmaschinen gehen wir am Ende des Artikels noch ausführlicher ein.
Woran erkenne ich eine sichere Verbindung via HTTPS?
Die Verschlüsselung einer Website durch HTTPS wird in den meisten Browsern mit einem grünen Schloss-Symbol signalisiert. Seiten ohne Verschlüsselung werden dagegen zunehmend von Browsern als unsicher markiert und mit Warnhinweisen versehen.
Häufig wird die komplette Adresse einer Seite beim scrollen durch die Ergebnisse einer Suchmaschinenanfrage angezeigt. Schon hier lässt sich die Art der Verbindung aus der URL herauslesen. Browser-Plugins wie zum Beispiel „Avast Online-Security“ geben zusätzliche optische Hinweise über die Sicherheit einer Website.
Wann ist HTTPS Pflicht?
Natürlich geht es nicht nur darum, dass eine Website nach der Umstellung auf HTTPS sich mit einem grünen Schloss in der Adresszeile des Browsers schmücken darf.
Seit Januar 2016 empfiehlt das Bundesministerium für Verbraucherschutz deutschen Websitenbetreibern eine sichere Verbindung durch HTTPS einzurichten.
Dazu gehören alle Websites die personenbezogene Daten über ein Kontaktformular direkt auf der Seite erheben. So beim Online-Banking, in Online-Shops und auch auf jeder Website, die ein Kontaktformular und/oder einen Newsletter in Zusammenhang mit einer Dienstleistung anbietet. Weitere Infos zu den neuen Datenschutzrichtlinien findest du hier.
Auch aufgrund der gesetzlichen Entwicklung empfehlen wir allen Betreibern von Websites mit Kontaktformular oder anderen Formen der Eingabe von personenbezogenen Daten eine HTTPS-Verbindung.
Gibt es eine Abmahngefahr bei Kontaktformularen ohne Verschlüsselung?
Dr. Ronald Kandelhard, Mitglied in unserem ACB-Netzwerk und Fachanwalt für Handels- und Gesellschaftsrecht, der unter www.easyrechssicher.de einen Premium Datenschutz- und Impressums-Generator sowie alle Informationen für rechtssichere Websites anbietet schreibt dazu folgendes:
„Nach § 13 Abs. 7 TMG hat jeder Website-Betreiber sicher zu stellen, dass personenbezogene Daten des Nutzers nur verschlüsselt übertragen werden. Daher sind Websites auf denen Kontaktformulare oder andere Formen der Eingabe von personenbezogenen Daten angeboten werden, mit einer SSL-Verschlüsselung (https://) zu versehen. Kostenlose Zertifikate dafür werden bereits angeboten. Sie sollten bereits deshalb verwendet werden, weil sie von Google beim Ranking bevorzugt werden, aber vor auch, weil Verstöße gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG gem. § 16 Abs. 2 Nr. 3 TMG ordnungswidrig sind. Dies kann nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden. Es gibt bereits Landesämter für Datenschutz, die entsprechende Warnungen und ggf. Bußgelder ausbringen.“
WordPress und HTTPS
Auch die Entwickler hinter dem freien Content-Management-System WordPress setzen auf Sicherheit und wollen die Umstellung von WordPress-Websites auf HTTPS vorantreiben.
Laut dem leitenden WordPress-Entwickler Matt Mullenweg sind für 2017 weitere Schritte Richtung HTTPS für WordPress geplant. So wird WordPress über kurz oder lang weniger kompatibel mit unverschlüsselten Verbindungen sein. Perspektivisch sollen manche WordPress-Funktionen die Verschlüsselung mit https zwingend voraussetzen.
Professionelle SEO-Analyse & Erstellug eines Actionplans gewünscht?
Wir bieten:
- Analyse Ist-Zustand Website (Auswertung Ranking etc.)
- aktualisierte Keyword- und Wettbewerbsanalyse, daraus resultierende Empfehlungen zur Suchmaschinenoptimierung
- kurze Potentialanalyse von SEO im Vergleich zu weiteren Online-Marketing-Maßnahmen
- Actionplan mit 2 Follow-Up-Terminen (je bis zu 30min innerhalb eines Monats) zur Begleitung der Online-Marketing-Maßnahmen
Preis: ab 800 Euro netto
Wie erhält man ein (kostenloses) HTTPS-Zertifikat?
Bei der Auswahl eines SLL-Zertifikats ist es wichtig, einen Anbieter zu wählen, der in allen Browsern als „vertrauenswürdige‘“ Zertifizierungsstelle anerkannt ist. In den meisten Fällen bietet es sich an, das Zertifikat nicht direkt bei einer Zertifizierungsstelle zu beziehen, sondern es über den eigenen Webhosting-Anbieter einzurichten.
Achtet dementsprechend schon bei der Wahl des Webhosting-Anbieters darauf, dass dieser die passenden Zertifikate im Angebot hat. Zumindest sollte er die einfache und kostengünstige Einbindung von anderweitig bezogenen Zertifikaten erlauben.
Bei der Auswahl des passenden Zertifikats ist es wichtig, sich die zwei ganz unterschiedlichen Funktionen von SSL-Zertifikaten klar zu machen: Verschlüsselung und Identitätsprüfung.
Ein billiges oder kostenloses Zertifikat verschlüsselt nicht besser als ein teures. Für die meisten Websites ist ein kostenloses Zertifikat eine gute und völlig ausreichende Wahl.
Deshalb unterstützen viele wichtige Unternehmen wie Google, Mozilla, Facebook oder Automattic (das Unternehmen hinter WordPress) die kostenlose Zertifizierungsstelle Let’s Encrypt. Webhosting-Anbieter wie All-Inkl erlauben es, mit wenigen Klicks alle verwendeten Domains mit einem Let’s Encrypt-Zertifikat zu versehen - das ist der Idealfall. Immer mehr andere Webhosting-Anbieter haben inzwischen wenigstens ein kostenloses Zertifikat als Teil des Hosting-Pakets.
Wer bekommt meine Daten?
Manchmal ist es aber nicht nur wichtig, Daten verschlüsselt zu übertragen. Es lohnt sich hier auch zu wissen, dass sich hinter der besuchten Website, der man etwa seine Kontodaten schickt, auch tatsächlich die gewünschten Betreiber:innen stehen. Bei kostenlosen oder billigen Zertifikaten wird keine nennenswerte Identitätsprüfung vorgenommen, meist reicht die Angabe einer E-Mail-Adresse.
Bei Zertifikaten, wie sie von großen Webshops oder Banken verwendet werden, wird die Identität genau geprüft. Entsprechende Informationen lassen sich auch durch Klick auf das Infosymbol im Browser anzeigen. Sogar der Name des Unternehmens kann neben der Browserleiste angezeigt werden:
Je nach Genauigkeit der Identitätsprüfung können erhebliche jährliche Kosten im drei bis vierstelligen Bereich fällig werden, die Preisunterschiede der verschiedenen Anbieter sind erheblich. Hier lohnen sich also Preisvergleich und genaue Abwägung der benötigten Identitätsprüfung.
Wenn Sie einen Webshop mit nicht unerheblichen Umsätzen betreiben, sollten Sie prüfen, ob eine Investition in ein Zertifikat mit echter Identitätsprüfung sinnvoll oder notwendig ist.
Wie funktioniert die Umstellung von HTTP zu HTTPS?
Das manuelle einbinden eines Zertifikats ist nur möglich, wenn man vollen Zugriff auf den genutzten Server hat. Übersichtliche Anleitungen finden sich auf ssl-trust-com. Bei den meisten Webhosting-Paketen wird dieser Schritt aber vom Webhosting-Anbieter übernommen, oder man kann Zertifikate leicht über die Benutzeroberfläche erstellen (kaufen) und aktivieren, wenn man sich in seinen Webhosting-Account eingeloggt hat.
In 6 Schritten: Website auf HTTPS umstellen
Nach der Installation des HTTPS-Zertifikats gilt es, einige Kniffe zu beachten um Fehler zu vermeiden. Folgende Punkte sind bei der Umstellung einer Website auf HTTPS zu beachten:
1. Serverseitige Einrichtung/Korrekte Weiterleitung einrichten
Eine saubere Umleitung auf HTTPS erfolgt durch einen 301-Redirect. Dadurch wird vermieden, dass Google und andere Suchmaschinen die HTTP- und HTTPS-Seite als zwei verschiedene Seiten werten. Generell ist es ratsam, nicht nur die Landingpage/Startseite der Homepage oder die Shopseite sondern auch alle Unterseiten in die HTTPS-Umleitung zu integrieren.
Ein 301-Redirect kann z. B. per Eintrag in die .htaccess-Datei erfolgen. Dies gilt, wenn ihr einen Apache-Server verwendet. Der folgende Eintrag erzwingt HTTPS für alle Seiten:
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}Funktioniert dieser Schnipsel nicht, gibt es im Netz zahlreiche Seiten auf denen Lösungen für eine Weiterleitung von http auf https angeboten und diskutiert werden. Beispielsweise hier.
Viele Webhosting-Anbieter ermöglichen auch bei den SSL-Optionen leicht das „erzwingen“ von https durch setzen eines entsprechenden Häkchens.
2. Unsichere Inhalte vermeiden
Um Mixed Content Warnings zu vermeiden (Warndreieck statt grünem Schloss in Adresszeile des Browsers), achtet darauf, dass alle Ressourcen (Bilder, Videos, CSS, JS, Webfonts) ebenfalls per https:// geladen werden. Das gilt für interne, aber auch für externe Ressourcen, also z.B. die Pfadangaben beim Google-Maps-Script oder einem eingebundenen YouTube-Video. Je nachdem, wie sauber programmiert und wie komplex eine Seite ist, kann dies ein kurzer und problemloser Vorgang sein, es kann aber auch einiges Nacharbeiten an zahlreichen verschiedenen Stellen in den Dateien und in der Datenbank nötig werden.
3. Crawling- und Indexierungsfehler vermeiden
Wenn ihr eure Seite umstellt, achtet darauf, dass die Datei robots.txt nicht das Crawling der HTTPS-Seiten blockiert. Um die Möglichkeit der Indexierung der Seiten zu gewähren, sollte auch die Verwendung des Wertes „noindex“ im Robots-Meta-Tag in HTML vermieden werden. Werden diese Punkte nicht beachtet, werden die auf HTTPS umgestellten Seiten nicht von Google indexiert und folglich auch nicht korrekt gerankt.
4. HTTPS in Google Search Console eintragen
Tragt, nach dem erfolgreichen Umstellen auf HTTPS, eure URL (mit HTTPS) erneut via Google Webmastertools in die Search Console ein. Reicht auch die XML-Sitemap neu ein.
Wenn eine Seite in HTTP sowie auch HTTPS erreichbar ist und über den gleichen Inhalt verfügt, bevorzugt Google die HTTPS-Seite bei der Indexierung. Generell solltet ihr alle Seiten, die nicht auf HTTPS umgestellt werden noch einmal extra in der Google Search Console indexieren.
5. Ranking der Website während des Umzugs
Wie bei allen größeren Änderungen an einer Website, kommt es meist auch bei der Umstellung auf HTTPS zu Schwankungen im Ranking. Laut Google lassen sich kurzfristige Rankingverluste bei größeren Änderungen einer Website aber nicht vermeiden.
6. Abgelaufene Zertifikate
Überprüft den Status des für die Umleitung verwendeten SSL-Zertifikats regelmäßig. Ist dieses ungültig oder abgelaufen, wird jeder Besucher der Website durch seinen Browser über die unsichere Verbindung gewarnt. Somit verfehlt das erworbene Zertifikat seinen Nutzen. Wir empfehlen also dringend, die Gültigkeit des Zertifikats zu beachten und rechtzeitig ein neues Zertifikat einzubinden! Am leichtesten ist dies möglich, wenn man das Zertifikat bei seinem Webhosting-Anbieter erwirbt und dabei die Option für automatische Verlängerung wählt.
Inwieweit beeinflusst die Umstellung auf HTTPS das Google-Ranking?
Während der Umstellung der Website auf HTTPS kommt es meist, wie bei jeder größeren Änderung auf einer Website, zu Schwankungen im Ranking bei Suchmaschinen. Diese meist kurzfristigen Einbußen machen sich langfristig aber bezahlt, denn laut Google wertet die Suchmaschine seit 2014 eine HTTPS-Verbindung als positiv. Änderungen im Ranking dürfen wir aber vermutlich nicht erwarten. Ob HTTPS-Verbindungen noch stärker gewertet werden, hält sich Google aber langfristig offen.
Vor einigen Jahren verbuchten die HTTPS-Umleitungen noch etwas mehr Ladezeit. Dieses Problem ist aber mittlerweile vollständig behoben.
Wenn ihr alle unter Punkt 5 genannten Schritte beachtet, sollten durch den Umzug keine negativen Tendenzen im Ranking auftreten. Wichtig sind saubere Überleitungen durch einen 301-Redirect und das Prüfen der ursprünglichen HTTP-robot.txt.
Die Website auf HTTPS umstellen und verschlüsseln? – Unser Fazit
Ganz klar: Die Zeichen stehen eindeutig für eine Umstellung auf HTTPS. Nicht nur, dass der oben erwähnte Auszug aus dem Telemediengesetz uns Websitebetreiber dazu anhält, sichere Verbindungen einzurichten, auch das „Image“ der Seite ist durch die Verschlüsselung langfristig ein besseres.
Gerade Betreiber, die auf Besucher über Suchmaschinen-Ergebnisse zählen, sollten eine verschlüsselte Verbindung in Erwägung ziehen. Ohne HTTPS werden nicht nur positive Signale an die Suchmaschinen vergeben, zudem bevorzugen Nutzer unter Umständen eine verschlüsselte Website.
Aber das “https://” mit dem grüne Schloss in der URL-Browserleiste schafft nicht nur bei Besuchern Vertrauen und stimmt die Suchmaschinen positiv – letztendlich geht es vor allem auch um die Datensicherheit der Besucher auf der eigenen Webpräsenz.
Der Nachteil für viele Webmaster ist sicherlich der unter Umständen zeitintensive Umzug auf HTTPS. Je nach Webhost kann es passieren, dass die Umstellung komplett manuell vorgenommen werden muss. Dazu gehört dann nicht nur etwas Geduld, sondern auch Know-How.
Eine neue Website steht an oder eure alte bräuchte mal wieder einen neuen Anstrich?
Schreibt uns ein wenig über euch und euer Projekt, damit wir schon bald gemeinsam launchen können. Wir freuen uns auf neue Herausforderungen!
Let’s go!
