Uns erreichen in letzter Zeit immer wieder Fragen rund um das Thema ÔÇ×HTTPS-Verschl├╝sselungÔÇť. Da eine verschl├╝sselte Daten├╝bertragung mit Hilfe eines SSL-Zertifikats in Zukunft immer bedeutender wird, wollen wir in diesem Artikel auf die wichtigsten Punkte dazu eingehen und kl├Ąren, ob und wie du deine Website auch auf HTTPS umstellen solltest.

Wenn du schon weisst, was HTTPS bedeutet und dass du umstellen willst, kannst du gleich zum zweiten Teil springen: Website auf HTTPS umstellen in 6 Schritten.

Was ist HTTPS und warum wird es immer wichtiger?

HTTPS steht f├╝r ÔÇ×HyperText Transfer Protocol SecureÔÇť und beschreibt die verschl├╝sselte ├ťbertragung von Daten zwischen Browser und Webserver. Fehlt das ÔÇ×SÔÇť (Secure) und eine Website wird nur via HTTP erreicht, k├Ânnen andere Personen innerhalb des gleichen Netzwerks die ├╝bertragenen Daten lesen.

Durch die steigende Verf├╝gbarkeit von frei verf├╝gbaren WLAN-Netzwerken w├Ąchst auch die Menge an sensiblen Daten im Word Wide Web.

Hacker und Internetbetr├╝ger sind sich dessen bewusst und versuchen mit verschiedenen Methoden an die ├╝bertragenen Daten zu gelangen.  Deshalb werden verschl├╝sselte Verbindungen immer wichtiger. Au├čerdem best├Ątigt Google offiziell (Punkt 3 unter ÔÇťMigration von HTTP zu HTTPS), dass sich eine HTTPS-Umstellung positiv auf das Ranking einer Website auswirkt.

Zur Auswirkung auf Suchmaschinen gehen wir am Ende des Artikels noch ausf├╝hrlicher ein.

Woran erkenne ich eine sichere Verbindung via HTTPS?

Die Verschl├╝sselung einer Website durch HTTPS wird in den meisten Browsern mit einem gr├╝nen Schloss-Symbol signalisiert. Seiten ohne Verschl├╝sselung werden dagegen zunehmend von Browsern als unsicher markiert und mit Warnhinweisen versehen.

Scrollt man durch die Ergebnisse einer Suchmaschinenanfrage, wird h├Ąufig die komplette Adresse einer Seite angezeigt. Schon hier l├Ąsst sich die Art der Verbindung aus der URL herauslesen. Browser-Plugins wie zum Beispiel ÔÇ×Avast Online-SecurityÔÇť geben zus├Ątzliche optische Hinweise ├╝ber die Sicherheit einer Website.

Wann ist HTTPS Pflicht?

Nat├╝rlich geht es nicht nur darum, dass eine Website nach der Umstellung auf HTTPS sich mit einem gr├╝nen Schloss in der Adresszeile des Browsers schm├╝cken darf.

Seit Januar 2016 empfiehlt das Bundesministerium f├╝r Verbraucherschutz deutschen Websitenbetreibern eine sichere Verbindung durch HTTPS einzurichten.

Dazu geh├Âren alle Websites die personenbezogene Daten ├╝ber ein Kontaktformular direkt auf der Seite erheben. So beim Online-Banking, in Online-Shops und auch auf jeder Website, die ein Kontaktformular und/oder einen Newsletter in Zusammenhang mit einer Dienstleistung anbietet. Weitere Infos zu den neuen Datenschutzrichtlinien findest du hier.

Auch aufgrund der gesetzlichen Entwicklung empfehlen wir allen Betreibern von Websites mit Kontaktformular oder anderen Formen der Eingabe von personenbezogenen Daten eine HTTPS-Verbindung.

Gibt es eine Abmahngefahr bei Kontaktformularen ohne Verschl├╝sselung?

Dr. Ronald Kandelhard, Mitglied in unserem ACB-Netzwerk und Fachanwalt für Handels- und Gesellschaftsrecht, der unter www.easyrechssicher.de einen Premium Datenschutz- und Impressums-Generator sowie alle Informationen für rechtssichere Websites anbietet schreibt dazu folgendes:

„Nach ┬ž 13 Abs. 7 TMG hat jeder Website-Betreiber sicher zu stellen, dass personenbezogene Daten des Nutzers nur verschl├╝sselt ├╝bertragen werden. Daher sind Websites auf denen Kontaktformulare oder andere Formen der Eingabe von personenbezogenen Daten angeboten werden, mit einer SSL-Verschl├╝sselung (https://) zu versehen. Kostenlose Zertifikate daf├╝r werden bereits angeboten. Sie sollten bereits deshalb verwendet werden, weil sie von Google beim Ranking bevorzugt werden, aber vor auch, weil Verst├Â├če gegen ┬ž 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG gem. ┬ž 16 Abs. 2 Nr. 3 TMG ordnungswidrig sind. Dies kann nach ┬ž 16 Abs. 3 TMG mit einer Geldbu├če von bis zu 50.000,- EUR je Versto├č geahndet werden. Es gibt bereits Landes├Ąmter f├╝r Datenschutz, die entsprechende Warnungen und ggf. Bu├čgelder ausbringen.“´╗┐

WordPress und HTTPS

Auch die Entwickler hinter dem freien Content-Management-System WordPress setzen auf Sicherheit und wollen die Umstellung von WordPress-Websites auf HTTPS vorantreiben.

Laut dem leitenden WordPress-Entwickler Matt Mullenweg sind f├╝r 2017 weitere Schritte Richtung HTTPS f├╝r WordPress geplant. So wird WordPress ├╝ber kurz oder lang weniger kompatibel mit unverschl├╝sselten Verbindungen sein. Perspektivisch sollen manche WordPress-Funktionen die Verschl├╝sselung mit https zwingend voraussetzen.

Professionelle SEO-Analyse & Erstellug eines Actionplans gew├╝nscht?

Wir bieten:

- Analyse Ist-Zustand Website (Auswertung Ranking etc.)
- aktualisierte Keyword- und Wettbewerbsanalyse, daraus resultierende Empfehlungen zur Suchmaschinenoptimierung
- kurze Potentialanalyse von SEO im Vergleich zu weiteren Online-Marketing-Ma├čnahmen
- Actionplan mit 2 Follow-Up-Terminen (je bis zu 30min innerhalb eines Monats) zur Begleitung der Online-Marketing-Ma├čnahmen

 

Preis: ab 800 Euro netto

Wie erh├Ąlt man ein (kostenloses) HTTPS-Zertifikat?

Bei der Auswahl eines SLL-Zertifikats ist es wichtig, einen Anbieter zu w├Ąhlen, der in allen Browsern als ÔÇ×vertrauensw├╝rdigeÔÇśÔÇť Zertifizierungsstelle anerkannt ist. In den meisten F├Ąllen bietet es sich an, das Zertifikat nicht direkt bei einer Zertifizierungsstelle zu beziehen, sondern es ├╝ber den eigenen Webhosting-Anbieter einzurichten.

Entsprechend sollte schon bei der Wahl des Webhosting-Anbieters darauf geachtet werden, dass dieser die passenden Zertifikate im Angebot hat oder zumindest die einfache und kosteng├╝nstige Einbindung von anderweitig bezogenen Zertifikaten erlaubt.

Bei der Auswahl des passenden Zertifikats ist es wichtig, sich die zwei ganz unterschiedlichen Funktionen von SSL-Zertifikaten klar zu machen: Verschl├╝sselung und Identit├Ątspr├╝fung.

Ein billiges oder kostenloses Zertifikat verschl├╝sselt nicht besser als ein teures. F├╝r die meisten Websites ist ein kostenloses Zertifikat eine gute und v├Âllig ausreichende Wahl.

Deshalb unterst├╝tzen viele wichtige Unternehmen wie Google, Mozilla, Facebook oder Automattic (das Unternehmen hinter WordPress) die kostenlose Zertifizierungsstelle Let’s Encrypt. Webhosting-Anbieter wie All-Inkl erlauben es, mit wenigen Klicks alle verwendeten Domains mit einem LetÔÇÖs Encrypt-Zertifikat zu versehen - das ist der Idealfall. Immer mehr andere Webhosting-Anbieter haben inzwischen wenigstens ein kostenloses Zertifikat als Teil des Hosting-Pakets.

Manchmal ist es aber nicht nur wichtig, Daten verschl├╝sselt zu ├╝bertragen, sondern auch zu wissen, dass sich hinter der besuchten Website, der man etwa seine Kontodaten schickt, auch tats├Ąchlich der gew├╝nschte Besitzer bzw. Betreiber steht. Bei kostenlosen oder billigen Zertifikaten wird keine nennenswerte Identit├Ątspr├╝fung vorgenommen, meist reicht die Angabe einer E-Mail-Adresse.

Bei Zertifikaten, wie sie von gro├čen Webshops oder Banken verwendet werden, wird die Identit├Ąt vor Ausstellung des Zertifikats dagegen genau gepr├╝ft, und entsprechende Informationen lassen sich auch durch Klick auf das Infosymbol im Browser anzeigen. Es kann sogar der Name des Unternehmens neben der Browserleiste angezeigt werden:

Je nach Genauigkeit der Identit├Ątspr├╝fung k├Ânnen erhebliche j├Ąhrliche Kosten im drei bis vierstelligen Bereich f├Ąllig werden, die Preisunterschiede der verschiedenen Anbieter sind erheblich. Hier lohnen sich also Preisvergleich und genaue Abw├Ągung der ben├Âtigten Identit├Ątspr├╝fung.

Wenn Sie einen Webshop mit nicht unerheblichen Ums├Ątzen betreiben, sollten Sie pr├╝fen, ob eine Investition in ein Zertifikat mit echter Identit├Ątspr├╝fung sinnvoll oder notwendig ist.

Wie funktioniert die Umstellung von HTTP zu HTTPS?

Das manuelle einbinden eines Zertifikats ist nur m├Âglich, wenn man vollen Zugriff auf den genutzten Server hat. ├ťbersichtliche Anleitungen finden sich auf ssl-trust-com. Bei den meisten Webhosting-Paketen wird dieser Schritt aber vom Webhosting-Anbieter ├╝bernommen, oder man kann Zertifikate leicht ├╝ber die Benutzeroberfl├Ąche erstellen (kaufen) und aktivieren, wenn man sich in seinen Webhosting-Account eingeloggt hat.

In 6 Schritten: Website auf HTTPS umstellen

Nach der Installation des HTTPS-Zertifikats gilt es, einige Kniffe zu beachten um Fehler zu vermeiden. Folgende Punkte sind bei der Umstellung einer Website auf HTTPS zu beachten:

1. Serverseitige Einrichtung/Korrekte Weiterleitung einrichten

Eine saubere Umleitung auf HTTPS erfolgt durch einen 301-Redirect. Dadurch wird vermieden, dass Google und andere Suchmaschinen die HTTP- und HTTPS-Seite als zwei verschiedene Seiten werten. Generell ist es ratsam, nicht nur die Landingpage/Startseite der Homepage oder die Shopseite sondern auch alle Unterseiten in die HTTPS-Umleitung zu integrieren.

Ein 301-Redirect kann z.B. per Eintrag in die .htaccess-Datei erfolgen, falls wie meist ein Apache-Server verwendet wird. Der folgende Eintrag erzwingt HTTPS f├╝r alle Seiten:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}

Sollte dieser Schnipsel nicht funktionieren, finden sich im Netz zahlreiche Seiten, auf denen L├Âsungen f├╝r eine Weiterleitung von http auf https angeboten und diskutiert werden, z.B. hier.
Viele Webhosting-Anbieter erm├Âglichen auch bei den SSL-Optionen leicht das ÔÇ×erzwingenÔÇť von https durch setzen eines entsprechenden H├Ąkchens.

2. Unsichere Inhalte vermeiden

Um Mixed Content Warnings zu vermeiden (Warndreieck statt gr├╝nem Schloss in Adresszeile des Browsers), sollte darauf geachtet werden, dass alle Ressourcen (Bilder, Videos, CSS, JS, Webfonts) ebenfalls per https:// geladen werden. Das gilt f├╝r interne, aber auch f├╝r externe Ressourcen, also z.B. die Pfadangaben beim Google-Maps-Script oder einem eingebundenen YouTube-Video. Je nachdem, wie sauber programmiert und wie komplex eine Seite ist, kann dies ein kurzer und problemloser Vorgang sein, es kann aber auch einiges Nacharbeiten an zahlreichen verschiedenen Stellen in den Dateien und in der Datenbank n├Âtig werden.

3. Crawling- und Indexierungsfehler vermeiden

Beim Umstellen sollte darauf geachtet werden, dass die Datei robots.txt nicht das Crawling der HTTPS-Seiten blockiert. Um die M├Âglichkeit der Indexierung der Seiten zu gew├Ąhren, sollte auch die Verwendung des Wertes ÔÇ×noindexÔÇť im Robots-Meta-Tag in HTML vermieden werden. Werden diese Punkte nicht beachtet, werden die auf HTTPS umgestellten Seiten nicht von Google indexiert und folglich auch nicht korrekt gerankt.

4. HTTPS in Google Search Console eintragen

Nach dem erfolgreichen Umstellen auf HTTPS muss die URL (mit HTTPS) erneut via Google Webmastertools in die Search Console eingetragen werden. Auch die XML-Sitemap sollte erneut eingereicht werden.

Indexiert Google eine Seite, die in HTTP und HTTPS erreichbar ist und ├╝ber den gleichen Inhalt verf├╝gt, wird laut Google die HTTPS-Seite bevorzugt. Generell wird empfohlen, sollten nicht alle Seiten auf HTTPS umgestellt werden, diese auch nochmal via Google Search Console zu indexieren.

5. Ranking der Website w├Ąhrend des Umzugs

Wie bei allen gr├Â├čeren ├änderungen an einer Website, kommt es meist auch bei der Umstellung auf HTTPS zu Schwankungen im Ranking. Laut Google lassen sich kurzfristige Rankingverluste bei gr├Â├čeren ├änderungen einer Website aber nicht vermeiden.

6. Abgelaufene Zertifikate

Auch der Status des f├╝r die Umleitung verwendeten SSL-Zertifikats sollte immer gepr├╝ft werden. Ist dieses ung├╝ltig oder abgelaufen, wird jeder Besucher der Website durch seinen Browser ├╝ber die unsichere Verbindung gewarnt. Somit verfehlt das erworbene Zertifikat seinen Nutzen. Wir empfehlen also dringend, die G├╝ltigkeit des Zertifikats zu beachten und rechtzeitig ein neues Zertifikat einzubinden! Am leichtesten ist dies m├Âglich, wenn man das Zertifikat bei seinem Webhosting-Anbieter erwirbt und dabei die Option f├╝r automatische Verl├Ąngerung w├Ąhlt.

Inwieweit beeinflusst die Umstellung auf HTTPS das Google-Ranking?

W├Ąhrend der Umstellung der Website auf HTTPS kommt es meist, wie bei jeder gr├Â├čeren ├änderung auf einer Website, zu Schwankungen im Ranking bei Suchmaschinen. Diese meist kurzfristigen Einbu├čen machen sich langfristig aber bezahlt, denn laut Google wertet die Suchmaschine seit 2014 eine HTTPS-Verbindung als positiv. Allerdings d├╝rfen keine gro├čen ├änderungen im Ranking erwartet werden. Langfristig h├Ąlt sich Google aber offen, ob HTTPS-Verbindungen noch st├Ąrker gewertet werden.

Vor einigen Jahren verbuchten die HTTPS-Umleitungen noch etwas mehr Ladezeit. Dieses Problem ist aber mittlerweile vollst├Ąndig behoben.

Werden alle unter Punkt 5 genannten Schritte beachtet sollten durch den Umzug keine negativen Tendenzen im Ranking auftreten. Wichtig sind saubere ├ťberleitungen durch einen 301-Redirect und das Pr├╝fen der urspr├╝nglichen HTTP-robot.txt.

Die Website auf HTTPS umstellen und verschl├╝sseln? ÔÇô Unser Fazit

Ganz klar: Die Zeichen stehen eindeutig f├╝r eine Umstellung auf HTTPS. Nicht nur, dass der oben erw├Ąhnte Auszug aus dem Telemediengesetz uns Websitebetreiber dazu anh├Ąlt, sichere Verbindungen einzurichten, auch das ÔÇ×ImageÔÇť der Seite ist durch die Verschl├╝sselung langfristig ein besseres.

Gerade Betreiber, die auf Besucher ├╝ber Suchmaschinen-Ergebnisse z├Ąhlen, sollten eine verschl├╝sselte Verbindung in Erw├Ągung ziehen. Ohne HTTPS werden nicht nur positive Signale an die Suchmaschinen vergeben, zudem bevorzugen Nutzer unter Umst├Ąnden eine verschl├╝sselte Website.

Aber das ÔÇťhttps://ÔÇŁ mit dem gr├╝ne Schloss in der URL-Browserleiste schafft nicht nur bei Besuchern Vertrauen und stimmt die Suchmaschinen positiv ÔÇô letztendlich geht es vor allem auch um die Datensicherheit der Besucher auf der eigenen Webpr├Ąsenz.

Der Nachteil f├╝r viele Webmaster ist sicherlich der unter Umst├Ąnden zeitintensive Umzug auf HTTPS. Je nach Webhost kann es passieren, dass die Umstellung komplett manuell vorgenommen werden muss. Dazu geh├Ârt dann nicht nur etwas Geduld, sondern auch Know-How.

Eine neue Website steht an oder eure alte br├Ąuchte mal wieder einen neuen Anstrich?

Schreibt uns ein wenig ├╝ber euch und euer Projekt, damit wir schon bald gemeinsam launchen k├Ânnen. Wir freuen uns auf neue Herausforderungen!


Let’s go!