Was ist überhaupt https?
Die Abkürzung https steht für «Hypertext Transfer Protocol Secure» und beschreibt die verschlüsselte Übertragung von Daten zwischen Browser und Webserver. Damit das technisch funktioniert, braucht man serverseitig ein SSL-Zertifikat. SSL wiederum ist die Abkürzung für «Secure Socket Layers». Soweit die technischen Anforderungen.
Die Technik der Verschlüsselung wird im Internet eingesetzt, um personenbezogene und sensible Daten vor fremdem Zugriff zu schützen. Fehlt das «s» und eine Webseite wird nur via http abgerufen, können Personen im gleichen Netzwerk die übertragenen Daten theoretisch mitlesen. Oder anders gesagt: mit SSL wird sichergestellt, dass Kommunikation nicht mitgelesen oder manipuliert werden kann und dass persönliche Daten nicht in die falschen Hände geraten. Im Browser erkennt man die sichere Übertragung übrigens an einem Schloss-Symbol, oder es steht dort sogar das Wort «sicher».
Und braucht man das?
Für jedes kommerzielle Webprojekt ist die Absicherung mit SSL grundsätzlich sinnvoll. Aus datenschutzrechtlicher Sicht ist diese mindestens dringend zu empfehlen, wenn nicht sogar zwingend notwendig. Aber auch Google & Co. lieben und favorisieren gesicherte Webseiten. Wer hier dauerhaft oben stehen möchte, der sollte sich um die Sicherheit seiner Seiten bemühen. Für jede geschäftliche Webseite und jeden Onlineshop ist eine SSL-Absicherung heute also Pflicht.
Google hat SSL bereits 2014 als Rankingfaktor für die Suchmaschinenoptimierung etabliert1. Richtig Fahrt hat das Thema aber erst aufgenommen, als gängige Browser – unter anderem Google Chrome – angefangen haben, nicht gesicherte Seiten als «unsicher» zu kennzeichnen. Neben möglichen Rankingverlusten in Suchmaschinen droht damit auch der Vertrauensverlust beim Besucher. Ein weiterer Grund, die eigenen Seiten sicher zu machen.
1https://webmaster-de.googleblog.com/2014/08/https-als-ranking-signal.html
Umstellung auf https ohne Rankingverlust
Der erste Schritt ist die technische Vorbereitung. Ein SSL-Zertifikat ist heute bei fast jedem Webhoster zu bekommen, mit ein bisschen technischem Verständnis muss dieses zunächst auf das Hosting Paket aufgeschaltet werden. Danach sollten Sie prüfen, ob alle Seiten noch wie gewohnt erreichbar sind. Wenn ja ist das schon die halbe Miete, danach sollten Sie aber unbedingt noch die folgenden Themen beachten.
- Weiterleitung auf https: Wahrscheinlich können Sie Ihre Seiten nach Aktivierung der SSL-Verschlüsselung sowohl mit http, als auch mit https aufrufen. Das ist ungünstig, weil Sie so möglicherweise Duplicate Content erzeugen und Gefahr laufen, von Google dafür abgestraft zu werden. Das können Sie mit einer 301-Weiterleitung lösen, die Ihre alte http-Version der Webseite auf die neue https-Version umleitet. Achten Sie hier unbedingt auf eine permanente Umleitung (301).
- Achtung: unsichere Inhalte! Auf fast allen Internetseiten sind Bilder eingebunden, oder es werden auch mal andere Elemente geladen. Google Fonts zum Beispiel, oder (externe) Skripte. Achten Sie darauf, dass keine Inhalte mehr mit http geladen werden. Abgesehen von Sicherheitslücken drohen sonst Fehlermeldungen und Ihre Seiten werden nicht bedingungslos als sicher ausgewiesen.
- Für WordPress-Nutzer: Wenn Sie Ihre Webseite mit WordPress betreiben, sollten Sie nach der Umstellung auf SSL noch einmal sorgfältig überprüfen, ob alle aktivierten Plugins das https korrekt ausliefern. Eventuell müssen hier noch separate Einstellungen für einzelne Plugins vorgenommen werden. Für die Umstellung können Sie übrigens auch das kostenfreie Plugin «Really Simple SSL» einsetzen.
- Nicht vergessen: die Sitemap. In der Sitemap standen bis jetzt alle URLs mit http, das müssen Sie jetzt anpassen. Sofern sich die Sitemap nicht automatisch erzeugt, erneuern Sie diese manuell. Denken Sie auch daran, die Sitemap in der Google Search Console neu einzurichten. Und auch in der robots.txt geben Sie die Sitemap jetzt mit https an, sofern Sie eine nutzen.
- Alle Domains und Links umstellen: Die Basics haben Sie jetzt erledigt, doch der Teufel steckt im Detail. Denken Sie daran, mögliche Subdomains der Hauptdomain auf https umzustellen. Und prüfen Sie interne Links, Canonical Tags und Sprachauszeichnungen mittels Hreflang Tag? Die Anpassung relativer Angaben ist dabei übrigens nicht erforderlich.
- Google Analysetools: Ist die Umstellung abgeschlossen? Dann sollten Sie für die https-Version eine neue Property in der Google Search Console anlegen. Denn in die alte Property fließen ab jetzt nur noch Zugriffe auf die http-Seiten ein, nicht aber Zugriffe auf die https-Version. Denken Sie dabei auch an den Upload Ihrer Disavow-Datei (zur Entwertung von Backlinks), sofern Sie eine solche nutzen. Und vergessen Sie auf keinen Fall, die Google Analytics Property anzupassen.
- Gültigkeit des Zertifikats: Jedes SSL-Zertifikat hat ein Ablaufdatum und muss regelmäßig erneuert werden. Achten Sie darauf, dass Ihr Zertifikat immer gültig ist, sonst sind Ihre Seiten nicht mehr ohne Fehlermeldungen aufrufbar.
Fazit
Für uns bei Netzfokus ist klar: SSL ist Pflicht. Wir selbst würden heute keine Webseite und keinen Onlineshop mehr ohne https betreiben. Deshalb empfehlen wir Ihnen auch dringend eine Umstellung, falls Sie dies noch nicht gemacht haben. SSL wirkt sich positiv auf das Image aus, weil Besucher Ihre Seiten als «sicher» gekennzeichnet sehen. Und auch bei Google wirkt die Verschlüsselung positiv. Bitte melden Sie sich bei uns, wenn Sie Hilfe bei der SSL-Einführung brauchen.
