10.01.2020
9mn

Was ist HTTPS? Wozu dient es? Und wie kann ich es implementieren?

HTTPS (oder Hypertext Transfer Protocol Secure) ist eine der Hauptanforderungen, um mit SEO zu beginnen. Unabhängig davon, wie professionell Ihre Website ist (aufgeklärter Amateur, gehobener Internetnutzer, Gebraucht-Blogger oder digitaler Profi), sind Sie unweigerlich mit diesem Protokoll zur Sicherung von Websites konfrontiert worden. Jeder hat bereits die fünf Buchstaben bemerkt, die ganz links in der URL-Adressleiste Ihres Browsers neben einem kleinen Vorhängeschloss angezeigt werden.

https versus http image

Es ist noch wichtiger, HTTPS genau zu betrachten, da Google es über seinen Chrome-Browser zu einem Schlüsselkriterium seines Ranking-Algorithmus gemacht hat. Im Jahr 2014 hatte der Webgigant angekündigt, sich auf Websites zu konzentrieren, die über das HTTPS-Protokoll geschützt sind. Genug, um Webmaster zu ermutigen, ihre Verbindungen zu sichern. Drei Jahre später sprechen die Zahlen für sich selbst: 66% der Websites sind unter Windows in HTTPS, 64% des Datenverkehrs sind unter Android und über 75% unter ChromeOS sicher. Darüber hinaus waren Ende 2017 71 der Top-Sites in den SERPs von Google in HTTPS, gegenüber 37 im Jahr 2016.

Natürlich ist Google nicht der einzige Akteur. Andere Faktoren haben bei dieser Umwandlung von einem wilden Web zu einem zivilisierteren Web eine Rolle gespielt: Initiativen, die den Zugang zu HTTPS erleichtern, geeignete Maßnahmen anderer Browser, usw. Es ist jedoch wichtig, drei Fragen zu stellen: Was genau ist HTTPS? Ist es notwendig, es anzuwenden, um die Auswirkungen Ihrer organischen Reichweite zu verstärken? Und wie ist diese Umstellung auf HTTPS zu organisieren?

Was ist das HTTPS?


  • Das HTTP-Protokoll

Um zu verstehen, was HTTPS ist, müssen wir zu HTTP zurückkehren, dessen Fortsetzung es ist. HTTP (kurz für HyperText Transfer Protocol) ist ein Kommunikationsprotokoll, das speziell für das Web entwickelt wurde. Es ermöglicht den Austausch von Daten zwischen einem Server und einem Client, zum Beispiel zwischen einer Website und einem Browser.

Das Problem mit HTTP ist, dass diese Austausche für jeden offen sind, d.h. sie sind nicht verschlüsselt und daher nicht vertraulich. Technisch gesehen kann sich jeder in die Kommunikation einmischen und die ausgetauschten Informationen abrufen, wie jemand, der ein Gespräch am Telefon verfolgt.

In den meisten Fällen ist dies nicht so schwerwiegend: Wenn Sie einen Artikel auf einer Zeitungswebsite lesen, tauschen Sie keine persönlichen Daten aus, die missbraucht werden könnten. Komplizierter wird es jedoch, wenn Sie sich auf der Website Ihrer Bank einloggen: Wenn jemand Ihre Informationen (z.B. Ihre Kontonummer oder Zugriffe) in die Hände bekommt, kann das schwerwiegende Folgen haben.

Der Hauptfehler des HTTP-Protokolls ist daher seine mangelnde Sicherheit. Und genau hier kommt HTTPS ins Spiel.

  • Das HTTPS-Protokoll

Das HyperText Transfer Protocol Secure (HTTPS)-Protokoll wurde entwickelt, um das Sicherheitsproblem seines großen Bruders zu überwinden.

HTTPS ist in Wirklichkeit nur ein HTTP-Protokoll, zu dem eine sichere Schicht namens TLS (Transport Layer Security) hinzugefügt wurde. Diese fungiert als ein Verschlüsselungs-Key, der die zwischen dem Server und dem Client ausgetauschten Daten verschlüsselt.

Das Durchlaufen eines HTTPS-Protokolls macht es möglich:

  • Sichern Sie die Daten, die zwischen einer Website und einem Browser zirkulieren, so dass niemand darauf zugreifen und sie missbrauchen kann. Die ausgetauschten Informationen werden verschlüsselt und der Verschlüsselungsschlüssel ist nur dem Server und dem Client bekannt.

    Alles geschieht so, als ob das Telefongespräch in einer einzigen, nur den Gesprächspartnern bekannten Sprache geführt wird, was den Lauscher daran hindert, etwas zu verstehen.

  • Garantieren Sie die Identität der konsultierten Website, damit Sie sicher sein können, dass es sich um diejenige handelt, deren URL angezeigt wird. Dieser Punkt ist von wesentlicher Bedeutung, da er es dem Internetnutzer ermöglicht, sich zu vergewissern, dass er z.B. auf der Website seiner Bank surft und nicht auf einer Plattform, die von Grund auf neu geschaffenen wurde, um ihn zu täuschen.

  • Wie können wir sehen, ob eine Website HTTPS oder HTTP ist?

Es ist ganz einfach: Eine sichere Website zeigt in ihrer URL die Buchstaben "HTTPS" anstelle des einfachen "HTTP" an. Auf Chrome erscheinen diese Buchstaben in grün.

Ein weiterer Beweis für die Sicherheit: das Vorhandensein eines Vorhängeschlosses (grün oder nicht) in der Nähe der URL. Es ist auf der linken Seite von Chrome, Firefox oder dem Internet Explorer zu finden.

Beachten Sie, dass Sie durch Klicken auf das Vorhängeschloss (oder in einigen Fällen auf ein Symbol, das "i" enthält) Informationen über die Art des zur Sicherung der Website verwendeten Zertifikats erhalten können.

  • HTTPS-Zertifikate

Das HTTPS-Protokoll verwendet ein SSL-Zertifikat (Secure Socket Layer), das die TLS-Sicherheitsschicht "festschreibt". Dieses elektronische Zertifikat wird auf die Website angewendet, um den Datenaustausch durch Verschlüsselung mit einem asymmetrischen Verschlüsselungsschlüssel zu sichern. Eine durch ein SSL- (oder TLS-) Zertifikat geschützte Website zeigt das berühmte Vorhängeschloss an, das ihre Sicherheit beweist.

Dazu müssen Sie zunächst dieses Zertifikat erhalten: Damit können Sie das entsprechende Protokoll aktivieren. Wir sprechen gleichgültig von SSL- oder TLS-Zertifikaten, aber es ist wichtig zu wissen, dass das SSL-Protokoll nicht mehr aktuell ist, da es durch TLS ersetzt wurde, eine sicherere Version, die auf dem gleichen Prinzip basiert. Der Begriff "SSL-Zertifikat" ist geblieben, um sich auf alle Verschlüsselungszertifikate zu beziehen, die HTTPS ermöglichen.

Es gibt verschiedene Arten von SSL-Zertifikaten, mehr oder weniger sicher:

  • Das kostenlose SSL-Zertifikat (Typ Let's Encrypt)
  • Das Extended Validation-Zertifikat (Extended SSL)
  • Das Organisationsvalidierungszertifikat (Organisation SSL)
  • Das Domain-Validierungszertifikat (Domain SSL)
  • Das Multi-Domain-Zertifikat (WildCard)

Diese Zertifikate werden von speziellen Stellen, den Certification Authorities (CA), ausgestellt. Auch hier gibt es eine Reihe von ihnen:

  • Symantec
  • GeoTrust
  • GlobalSign
  • Thawte
  • Comodo (zu OVH gehörig)
  • RapidSSL
  • Digicert
  • AlphaSSL
  • TrustProvider

Die Kosten für ein Verschlüsselungszertifikat können von Null (kostenlos) bis zu mehreren Tausend Euro reichen. Der Preis hängt von der Zuverlässigkeit des Zertifikats ab, d.h. von dem vor der Ausstellung erreichten Verifizierungsgrad: Diese Verifizierung reicht von einer einfachen E-Mail an den Antragsteller bis hin zu einer Vielzahl von vorzulegenden Dokumenten. Er variiert aber auch je nach der gewählten CA.

Warum auf HTTPS wechseln?

Wenn Sie Interesse an der Umstellung Ihrer Website auf HTTPS haben, finden Sie hier nicht nur einen, sondern zwei gute Gründe, dies zu tun.

Einerseits gibt es einen Grund für die Sicherheit. Das HTTPS trägt dazu bei, das Web für alle, sowohl für Fachleute als auch für Internetnutzer, sicherer zu machen, indem es Schutz vor "Man-in-the-Middle"-Angriffen bietet. Leider sind diese Attacken sehr en vogue. Sie zielen ab, die Kommunikation zwischen zwei digitalen Gesprächspartnern abzufangen, um persönliche Daten zu sammeln. Alles, ohne entdeckt zu werden. So werden Ihre Bankdaten oder Ihre Identifikatoren von einem Hacker erfasst, der sie in betrügerischer Absicht verwenden kann.

HTTPS ist die beste Methode zur Überwindung dieser Sicherheitslücke. Für Fachleute, die Websites anbieten, auf denen Daten zirkulieren, ist es daher von entscheidender Bedeutung, ob es sich um das Ausfüllen eines einfachen Formulars, die Registrierung eines persönlichen Kontos oder die Bezahlung eines Kaufs durch Eingabe der Kreditkartendaten handelt. Unnötig zu erwähnen, dass ungeschützte Websites in den Augen der Internetnutzer, die selbst zunehmend um den Schutz ihrer Daten besorgt sind, nicht sehr beliebt sind.

Auf der anderen Seite gibt es den SEO-Grund. Bei Google wird sich dafür eingesetzt, das Web zu einem sichereren Ort zu machen: Es geht also nicht mehr darum, den Anreiz, auf HTTPS umzusteigen, nur auf risikoreiche Plattformen zu beschränken (das Protokoll wurde ursprünglich erfunden, um Bank-Websites zu sichern). In naher Zukunft werden ALLE Websites das HTTPS-Logo mit Stolz präsentieren müssen.

Der Beweis: Google gibt sich nicht damit zufrieden, HTTPS-Plattformen seit 2014 zu bevorzugen (siehe die diesbezügliche Ankündigung), sondern zeigt in seinem Chrome-Browser Meldungen an, um den Nutzer zu warnen, wenn eine Website nicht sicher ist. Dies wirkt sich negativ auf das Vertrauen der Besucher aus.

Dies sind zwei gute Gründe, auf HTTPS umzusteigen. Aber lassen Sie uns noch einen Moment auf den zweiten eingehen: die Auswirkungen auf die natürliche Referenzierung.

Welche Auswirkungen hat HTTPS auf SEO?

Beginnen wir mit einem Rückblick auf die Chronologie der Ereignisse:

  • Im Jahr 2014 kündigt Google an, dass es Websites bevorzugt, die HTTPS durch seinen Ranking-Algorithmus aktivieren. Die Verbesserung des Rankings ist sehr gering.
  • Im Jahr 2015 gibt Google an, dass HTTPS die Rolle des Schiedsrichters bei einem Vergleich zwischen zwei ähnlichen Websites als Antwort auf eine Anfrage übernimmt. Wenn zwei Sites in allem fast identisch sind (Schlüsselwörter funktionieren, Frische des Inhalts, Anzeigegeschwindigkeit ...), wird der Algorithmus auf den sichersten voreingestellt.
  • Heute sind 40% der Ergebnisse, die auf der ersten Seite von Google angezeigt werden, in HTTPS (Quelle). Der Aufschwung ist deutlicher, aber das erklärt nicht alles: Diese Websites auf Seite 1 der SERPs sind auch diejenigen, die neben der Sicherheit auch andere SEO-Best-Practices anwenden.

Zusammenfassend lässt sich sagen, dass der Übergang zu HTTPS heute kein wichtiges Sprungbrett für SEO ist. Das heißt nicht, dass die Vorteile nicht interessant sind, da der Erhalt eines guten SSL-Zertifikats indirekte Auswirkungen auf SEO haben kann. Insbesondere:

  • Durch die Beeinflussung der Wahl der Internetnutzer. Sie werden wahrscheinlich eine Website in HTTPS statt einer anderen in HTTP wählen, insbesondere um einen Kauf zu tätigen. Je mehr die Sites als nicht sicher gekennzeichnet werden, desto wichtiger wird es für die Händler-Sites, ihre Sicherheit erkenntlich zu machen.
  • Durch die Beeinflussung des Google Ranking. Stellen Sie sich vor: Ein Nutzer klickt auf einen Link in den SERPs, stellt fest, dass die Website nicht sicher ist, und geht zurück, um einen anderen auszuwählen. Google nimmt diese Umkehrung als Zeichen der Unzufriedenheit wahr, was sich auf das Ranking der betreffenden Website auswirkt.

Dennoch ist es nicht ausgeschlossen, dass Googles Vorstoß für sichere Websites in Zukunft noch deutlicher zu spüren sein wird.

Sollte ich aus SEO-Gründen auf HTTPS wechseln?

Eine Migration Ihrer Website auf HTTPS in der Hoffnung auf reinen SEO-Gewinn ist nicht sinnvoll. Die Steigerung ist so gering, dass man eine große Lupe braucht, um einen Unterschied zu sehen. Selbst wenn der HTTPS-Effekt existiert, bleibt er weit, weit hinter den entscheidenden Kriterien Inhalt, SEO und Backlinks zurück. SSL ist also eindeutig keine Möglichkeit, Ihre Seiten zu verfolgen, damit sie in die SERPs aufsteigen.

Aber es gibt viele andere Gründe dafür, wie wir oben gesehen haben. Zum einen, um den Austausch mit den Internetnutzern zu sichern, zum anderen, um Ihr Markenimage zu verbessern. Dies betrifft in erster Linie, aber nicht nur, Händler-Websites.

In Zukunft werden Sicherheitswarnungen von Browsern an Internetnutzer gesendet, deren Daten aufgrund einer Sicherheitslücke auf einer HTTP-Site durchgesickert sind. Stellen Sie sich einen Moment lang vor, was Ihre Besucher von Ihrer Website halten würden, wenn Sie betroffen wären?

Wie können Sie Ihre Website von HTTP auf HTTPS migrieren?

Beachten Sie, dass ein Wechsel von HTTP zu HTTPS einer Site-Migration ähnlich ist. Konkret wird hier beschrieben, wie Sie dies tun können:

  1. Kaufen (oder beantragen) Sie ein SSL-Zertifikat und installieren Sie es auf Ihrer Website.
  2. Modifizieren Sie Ihre internen URLs, so dass alle Ihre Ressourcen in HTTPS bedient werden.
  3. 301 Umleitungen von HTTP-URLs auf HTTPS-URLs einrichten. Dadurch können Sie die SEO (Popularität und Traffic) Ihrer Seiten während der gesamten Migration beibehalten. Testen Sie diese URLs vor allem im Nachhinein!
  4. Stellen Sie sicher, dass Ihre Canonical URLs auf Ihre HTTPS-Seiten verweisen. Auf diese Weise haben Sie weniger Bedenken wegen doppelter URLs.
  5. Stellen Sie sicher, dass Ihre HTTPS-Seiten indizierbar sind.
  6. Aktivieren Sie den HSTS-Mechanismus (HTTP Strict Transport Security), um den Client zu informieren, dass die Interaktionen nun über eine sichere Verbindung erfolgen.

Sobald die Migration zu HTTPS abgeschlossen ist, müssen Sie über die letzten Prüfungen nachdenken:

  1. Führen Sie einen Crawl aus, um sicherzustellen, dass keine Fehler vorliegen.
  2. Erstellen Sie eine neue Suchkonsole und überwachen Sie die Indizierung der Seiten in HTTPS, indem Sie mit der alten Version vergleichen.
  3. Prüfen und korrigieren Sie die URLs der Links, die auf Ihre Website verweisen, so dass sie alle in HTTPS sind.
  4. Aktualisieren Sie die externen Plugins Ihres CMS, um sicherzustellen, dass sie mit dem neuen Protokoll kompatibel sind.
  5. Modifizieren Sie Ihre Einstellungen in Google Analytics, so dass die Plattform Seiten in HTTPS berücksichtigt, insbesondere um die Entwicklung des Datenverkehrs zu verfolgen.
  6. Rufen Sie Ihre Hinweise auf soziale Interaktionen (Shares und Likes) ab, indem Sie diese Anweisungen befolgen.
  7. Messen Sie die Ladezeiten Ihrer HTTPS-Seiten. Die Migration kann von einer allgemeinen Verlangsamung aufgrund zusätzlicher Verhandlungen zwischen Server und Client begleitet werden.

Im Falle von Problemen kann die Leistung Ihrer Website mit HTTP/2 verbessert werden, sobald die Migration zu HTTPS abgeschlossen ist.

Welche Art von SSL-Zertifikat soll ich wählen?

Es stellt sich die Frage, welches Zertifikat Sie wählen sollen, um auf HTTPS zu migrieren und Ihre Verbindungen zu sichern. Aber die Antwort hängt sowohl von der Art Ihrer Website als auch von Ihren Sicherheitsanforderungen ab. Für eine durchschnittliche Site, auf der keine persönlichen Daten ausgetauscht werden, ist ein kostenloses SSL-Zertifikat mehr als ausreichend (Typ Let's Encrypt). Mehr ist nicht nötig.

Für eine Firmenwebsite ist es vorzuziehen, sich für ein Domain Validation (DV) oder Organization Validation (OV) Zertifikat zu entscheiden. Diese Zertifikate kosten zwischen einigen Dutzend Euro und einigen hundert Euro pro Jahr. Der Unterschied zwischen den beiden liegt in der Authentifizierung: Die DV identifiziert den Antragsteller des Zertifikats nicht, während das OV etwas sicherer ist. In diesem Punkt müssen Sie sich jedoch in die Lage des Internetnutzers versetzen: Wird er auf Ihr Zertifikat klicken, um das Authentifizierungsfeld zu überprüfen? Brauchen Sie diesen zusätzlichen Schutz wirklich?

Bei einer E-Commerce-Site sind die Dinge anders: Sie müssen die Sicherheit Ihrer Kunden im gesamten Einkaufstunnel gewährleisten. In diesem Fall ist das Extended Validation (EV)-Zertifikat unerlässlich. Es zeigt eine grüne Leiste im Browser an, damit die Benutzer sofort wissen, dass sie auf einer optimal geschützten Website surfen. Das ist gut für Ihr Markenimage.

Was die Multi-Domain-Zertifikate betrifft, so gelten sie für Sites, die mehrere Domainnamen zertifizieren müssen.

Abschließend

Die Migration Ihrer Website zu HTTPS ist keine absolute Notwendigkeit, sondern eher ein Maß an Komfort und Vertrauen. Die Installation eines SSL-Zertifikats auf Ihrem Server wird Ihre SEO nicht fördern und Ihre Website nicht in eine manipulationssichere Festung verwandeln (SSL verschlüsselt die Verbindung, ohne den Server oder Browser selbst zu sichern). Aber Ihre Besucher können sich sicher fühlen, wenn sie Ihnen persönliche Daten anvertrauen, seien es Login-Daten oder Bankdaten. Beachten Sie, dass 40% der Google-Startseiten in HTTPS vorliegen.

Bonusratschlag:

Welche Lösung Sie auch immer wählen, welches Zertifikat Sie wollen und welche Zertifizierungsstelle Sie auch immer wählen, beginnen Sie keine Migration, ohne vorher darüber nachzudenken. Nehmen Sie sich vor allem Zeit!