Uns erreichen in letzter Zeit immer wieder Fragen rund um das Thema „HTTPS-Verschlüsselung“. Da eine verschlüsselte Datenübertragung mit Hilfe eines SSL-Zertifikats in Zukunft immer bedeutender wird, wollen wir in diesem Artikel auf die wichtigsten Punkte dazu eingehen und klären, ob und wie du deine Website auch auf HTTPS umstellen solltest.

Wenn du schon weisst, was HTTPS bedeutet und dass du umstellen willst, kannst du gleich zum zweiten Teil springen: Website auf HTTPS umstellen in 6 Schritten.

Was ist HTTPS und warum wird es immer wichtiger?

HTTPS steht für „HyperText Transfer Protocol Secure“ und beschreibt die verschlüsselte Übertragung von Daten zwischen Browser und Webserver. Fehlt das „S“ (Secure) und eine Website wird nur via HTTP erreicht, können andere Personen innerhalb des gleichen Netzwerks die übertragenen Daten lesen.

Durch die steigende Verfügbarkeit von frei verfügbaren WLAN-Netzwerken wächst auch die Menge an sensiblen Daten im Word Wide Web.

Hacker und Internetbetrüger sind sich dessen bewusst und versuchen mit verschiedenen Methoden an die übertragenen Daten zu gelangen.  Deshalb werden verschlüsselte Verbindungen immer wichtiger. Außerdem bestätigt Google offiziell (Punkt 3 unter “Migration von HTTP zu HTTPS), dass sich eine HTTPS-Umstellung positiv auf das Ranking einer Website auswirkt.

Zur Auswirkung auf Suchmaschinen gehen wir am Ende des Artikels noch ausführlicher ein.

Woran erkenne ich eine sichere Verbindung via HTTPS?

Die Verschlüsselung einer Website durch HTTPS wird in den meisten Browsern mit einem grünen Schloss-Symbol signalisiert. Seiten ohne Verschlüsselung werden dagegen zunehmend von Browsern als unsicher markiert und mit Warnhinweisen versehen.

Scrollt man durch die Ergebnisse einer Suchmaschinenanfrage, wird häufig die komplette Adresse einer Seite angezeigt. Schon hier lässt sich die Art der Verbindung aus der URL herauslesen. Browser-Plugins wie zum Beispiel „Avast Online-Security“ geben zusätzliche optische Hinweise über die Sicherheit einer Website.

Wann ist HTTPS Pflicht?

Natürlich geht es nicht nur darum, dass eine Website nach der Umstellung auf HTTPS sich mit einem grünen Schloss in der Adresszeile des Browsers schmücken darf.

Seit Januar 2016 empfiehlt das Bundesministerium für Verbraucherschutz deutschen Websitenbetreibern eine sichere Verbindung durch HTTPS einzurichten.

Dazu gehören alle Websites die personenbezogene Daten über ein Kontaktformular direkt auf der Seite erheben. So beim Online-Banking, in Online-Shops und auch auf jeder Website, die ein Kontaktformular und/oder einen Newsletter in Zusammenhang mit einer Dienstleistung anbietet. Weitere Infos zu den neuen Datenschutzrichtlinien findest du hier.

Auch aufgrund der gesetzlichen Entwicklung empfehlen wir allen Betreibern von Websites mit Kontaktformular oder anderen Formen der Eingabe von personenbezogenen Daten eine HTTPS-Verbindung.

Gibt es eine Abmahngefahr bei Kontaktformularen ohne Verschlüsselung?

Dr. Ronald Kandelhard, Mitglied in unserem ACB-Netzwerk und Fachanwalt für Handels- und Gesellschaftsrecht, der unter www.easyrechssicher.de einen Premium Datenschutz- und Impressums-Generator sowie alle Informationen für rechtssichere Websites anbietet schreibt dazu folgendes:

„Nach § 13 Abs. 7 TMG hat jeder Website-Betreiber sicher zu stellen, dass personenbezogene Daten des Nutzers nur verschlüsselt übertragen werden. Daher sind Websites auf denen Kontaktformulare oder andere Formen der Eingabe von personenbezogenen Daten angeboten werden, mit einer SSL-Verschlüsselung (https://) zu versehen. Kostenlose Zertifikate dafür werden bereits angeboten. Sie sollten bereits deshalb verwendet werden, weil sie von Google beim Ranking bevorzugt werden, aber vor auch, weil Verstöße gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG gem. § 16 Abs. 2 Nr. 3 TMG ordnungswidrig sind. Dies kann nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden. Es gibt bereits Landesämter für Datenschutz, die entsprechende Warnungen und ggf. Bußgelder ausbringen.“

WordPress und HTTPS

Auch die Entwickler hinter dem freien Content-Management-System WordPress setzen auf Sicherheit und wollen die Umstellung von WordPress-Websites auf HTTPS vorantreiben.

Laut dem leitenden WordPress-Entwickler Matt Mullenweg sind für 2017 weitere Schritte Richtung HTTPS für WordPress geplant. So wird WordPress über kurz oder lang weniger kompatibel mit unverschlüsselten Verbindungen sein. Perspektivisch sollen manche WordPress-Funktionen die Verschlüsselung mit https zwingend voraussetzen.

Professionelle SEO-Analyse & Erstellug eines Actionplans gewünscht?

Wir bieten:

- Analyse Ist-Zustand Website (Auswertung Ranking etc.)
- aktualisierte Keyword- und Wettbewerbsanalyse, daraus resultierende Empfehlungen zur Suchmaschinenoptimierung
- kurze Potentialanalyse von SEO im Vergleich zu weiteren Online-Marketing-Maßnahmen
- Actionplan mit 2 Follow-Up-Terminen (je bis zu 30min innerhalb eines Monats) zur Begleitung der Online-Marketing-Maßnahmen

 

Preis: ab 800 Euro netto

Wie erhält man ein (kostenloses) HTTPS-Zertifikat?

Bei der Auswahl eines SLL-Zertifikats ist es wichtig, einen Anbieter zu wählen, der in allen Browsern als „vertrauenswürdige‘“ Zertifizierungsstelle anerkannt ist. In den meisten Fällen bietet es sich an, das Zertifikat nicht direkt bei einer Zertifizierungsstelle zu beziehen, sondern es über den eigenen Webhosting-Anbieter einzurichten.

Entsprechend sollte schon bei der Wahl des Webhosting-Anbieters darauf geachtet werden, dass dieser die passenden Zertifikate im Angebot hat oder zumindest die einfache und kostengünstige Einbindung von anderweitig bezogenen Zertifikaten erlaubt.

Bei der Auswahl des passenden Zertifikats ist es wichtig, sich die zwei ganz unterschiedlichen Funktionen von SSL-Zertifikaten klar zu machen: Verschlüsselung und Identitätsprüfung.

Ein billiges oder kostenloses Zertifikat verschlüsselt nicht besser als ein teures. Für die meisten Websites ist ein kostenloses Zertifikat eine gute und völlig ausreichende Wahl.

Deshalb unterstützen viele wichtige Unternehmen wie Google, Mozilla, Facebook oder Automattic (das Unternehmen hinter WordPress) die kostenlose Zertifizierungsstelle Let’s Encrypt. Webhosting-Anbieter wie All-Inkl erlauben es, mit wenigen Klicks alle verwendeten Domains mit einem Let’s Encrypt-Zertifikat zu versehen - das ist der Idealfall. Immer mehr andere Webhosting-Anbieter haben inzwischen wenigstens ein kostenloses Zertifikat als Teil des Hosting-Pakets.

Manchmal ist es aber nicht nur wichtig, Daten verschlüsselt zu übertragen, sondern auch zu wissen, dass sich hinter der besuchten Website, der man etwa seine Kontodaten schickt, auch tatsächlich der gewünschte Besitzer bzw. Betreiber steht. Bei kostenlosen oder billigen Zertifikaten wird keine nennenswerte Identitätsprüfung vorgenommen, meist reicht die Angabe einer E-Mail-Adresse.

Bei Zertifikaten, wie sie von großen Webshops oder Banken verwendet werden, wird die Identität vor Ausstellung des Zertifikats dagegen genau geprüft, und entsprechende Informationen lassen sich auch durch Klick auf das Infosymbol im Browser anzeigen. Es kann sogar der Name des Unternehmens neben der Browserleiste angezeigt werden:

Je nach Genauigkeit der Identitätsprüfung können erhebliche jährliche Kosten im drei bis vierstelligen Bereich fällig werden, die Preisunterschiede der verschiedenen Anbieter sind erheblich. Hier lohnen sich also Preisvergleich und genaue Abwägung der benötigten Identitätsprüfung.

Wenn Sie einen Webshop mit nicht unerheblichen Umsätzen betreiben, sollten Sie prüfen, ob eine Investition in ein Zertifikat mit echter Identitätsprüfung sinnvoll oder notwendig ist.

Wie funktioniert die Umstellung von HTTP zu HTTPS?

Das manuelle einbinden eines Zertifikats ist nur möglich, wenn man vollen Zugriff auf den genutzten Server hat. Übersichtliche Anleitungen finden sich auf ssl-trust-com. Bei den meisten Webhosting-Paketen wird dieser Schritt aber vom Webhosting-Anbieter übernommen, oder man kann Zertifikate leicht über die Benutzeroberfläche erstellen (kaufen) und aktivieren, wenn man sich in seinen Webhosting-Account eingeloggt hat.

In 6 Schritten: Website auf HTTPS umstellen

Nach der Installation des HTTPS-Zertifikats gilt es, einige Kniffe zu beachten um Fehler zu vermeiden. Folgende Punkte sind bei der Umstellung einer Website auf HTTPS zu beachten:

1. Serverseitige Einrichtung/Korrekte Weiterleitung einrichten

Eine saubere Umleitung auf HTTPS erfolgt durch einen 301-Redirect. Dadurch wird vermieden, dass Google und andere Suchmaschinen die HTTP- und HTTPS-Seite als zwei verschiedene Seiten werten. Generell ist es ratsam, nicht nur die Landingpage/Startseite der Homepage oder die Shopseite sondern auch alle Unterseiten in die HTTPS-Umleitung zu integrieren.

Ein 301-Redirect kann z.B. per Eintrag in die .htaccess-Datei erfolgen, falls wie meist ein Apache-Server verwendet wird. Der folgende Eintrag erzwingt HTTPS für alle Seiten:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}

Sollte dieser Schnipsel nicht funktionieren, finden sich im Netz zahlreiche Seiten, auf denen Lösungen für eine Weiterleitung von http auf https angeboten und diskutiert werden, z.B. hier.
Viele Webhosting-Anbieter ermöglichen auch bei den SSL-Optionen leicht das „erzwingen“ von https durch setzen eines entsprechenden Häkchens.

2. Unsichere Inhalte vermeiden

Um Mixed Content Warnings zu vermeiden (Warndreieck statt grünem Schloss in Adresszeile des Browsers), sollte darauf geachtet werden, dass alle Ressourcen (Bilder, Videos, CSS, JS, Webfonts) ebenfalls per https:// geladen werden. Das gilt für interne, aber auch für externe Ressourcen, also z.B. die Pfadangaben beim Google-Maps-Script oder einem eingebundenen YouTube-Video. Je nachdem, wie sauber programmiert und wie komplex eine Seite ist, kann dies ein kurzer und problemloser Vorgang sein, es kann aber auch einiges Nacharbeiten an zahlreichen verschiedenen Stellen in den Dateien und in der Datenbank nötig werden.

3. Crawling- und Indexierungsfehler vermeiden

Beim Umstellen sollte darauf geachtet werden, dass die Datei robots.txt nicht das Crawling der HTTPS-Seiten blockiert. Um die Möglichkeit der Indexierung der Seiten zu gewähren, sollte auch die Verwendung des Wertes „noindex“ im Robots-Meta-Tag in HTML vermieden werden. Werden diese Punkte nicht beachtet, werden die auf HTTPS umgestellten Seiten nicht von Google indexiert und folglich auch nicht korrekt gerankt.

4. HTTPS in Google Search Console eintragen

Nach dem erfolgreichen Umstellen auf HTTPS muss die URL (mit HTTPS) erneut via Google Webmastertools in die Search Console eingetragen werden. Auch die XML-Sitemap sollte erneut eingereicht werden.

Indexiert Google eine Seite, die in HTTP und HTTPS erreichbar ist und über den gleichen Inhalt verfügt, wird laut Google die HTTPS-Seite bevorzugt. Generell wird empfohlen, sollten nicht alle Seiten auf HTTPS umgestellt werden, diese auch nochmal via Google Search Console zu indexieren.

5. Ranking der Website während des Umzugs

Wie bei allen größeren Änderungen an einer Website, kommt es meist auch bei der Umstellung auf HTTPS zu Schwankungen im Ranking. Laut Google lassen sich kurzfristige Rankingverluste bei größeren Änderungen einer Website aber nicht vermeiden.

6. Abgelaufene Zertifikate

Auch der Status des für die Umleitung verwendeten SSL-Zertifikats sollte immer geprüft werden. Ist dieses ungültig oder abgelaufen, wird jeder Besucher der Website durch seinen Browser über die unsichere Verbindung gewarnt. Somit verfehlt das erworbene Zertifikat seinen Nutzen. Wir empfehlen also dringend, die Gültigkeit des Zertifikats zu beachten und rechtzeitig ein neues Zertifikat einzubinden! Am leichtesten ist dies möglich, wenn man das Zertifikat bei seinem Webhosting-Anbieter erwirbt und dabei die Option für automatische Verlängerung wählt.

Inwieweit beeinflusst die Umstellung auf HTTPS das Google-Ranking?

Während der Umstellung der Website auf HTTPS kommt es meist, wie bei jeder größeren Änderung auf einer Website, zu Schwankungen im Ranking bei Suchmaschinen. Diese meist kurzfristigen Einbußen machen sich langfristig aber bezahlt, denn laut Google wertet die Suchmaschine seit 2014 eine HTTPS-Verbindung als positiv. Allerdings dürfen keine großen Änderungen im Ranking erwartet werden. Langfristig hält sich Google aber offen, ob HTTPS-Verbindungen noch stärker gewertet werden.

Vor einigen Jahren verbuchten die HTTPS-Umleitungen noch etwas mehr Ladezeit. Dieses Problem ist aber mittlerweile vollständig behoben.

Werden alle unter Punkt 5 genannten Schritte beachtet sollten durch den Umzug keine negativen Tendenzen im Ranking auftreten. Wichtig sind saubere Überleitungen durch einen 301-Redirect und das Prüfen der ursprünglichen HTTP-robot.txt.

Die Website auf HTTPS umstellen und verschlüsseln? – Unser Fazit

Ganz klar: Die Zeichen stehen eindeutig für eine Umstellung auf HTTPS. Nicht nur, dass der oben erwähnte Auszug aus dem Telemediengesetz uns Websitebetreiber dazu anhält, sichere Verbindungen einzurichten, auch das „Image“ der Seite ist durch die Verschlüsselung langfristig ein besseres.

Gerade Betreiber, die auf Besucher über Suchmaschinen-Ergebnisse zählen, sollten eine verschlüsselte Verbindung in Erwägung ziehen. Ohne HTTPS werden nicht nur positive Signale an die Suchmaschinen vergeben, zudem bevorzugen Nutzer unter Umständen eine verschlüsselte Website.

Aber das “https://” mit dem grüne Schloss in der URL-Browserleiste schafft nicht nur bei Besuchern Vertrauen und stimmt die Suchmaschinen positiv – letztendlich geht es vor allem auch um die Datensicherheit der Besucher auf der eigenen Webpräsenz.

Der Nachteil für viele Webmaster ist sicherlich der unter Umständen zeitintensive Umzug auf HTTPS. Je nach Webhost kann es passieren, dass die Umstellung komplett manuell vorgenommen werden muss. Dazu gehört dann nicht nur etwas Geduld, sondern auch Know-How.

Eine neue Website steht an oder eure alte bräuchte mal wieder einen neuen Anstrich?

Schreibt uns ein wenig über euch und euer Projekt, damit wir schon bald gemeinsam launchen können. Wir freuen uns auf neue Herausforderungen!


Let’s go!