Seit Januar 2017 werden unverschlüsselte Webseiten, auf denen Passwörter, Bankverbindungen oder Kreditkarteninformationen abgefragt werden, von wichtigen Browsern wie z.B. Google Chrome, Mozilla Firefox, Microsoft Edge u.a. als „unsicher“ gekennzeichnet. Nach der offiziellen Ankündigung von Google im Google Security Blog ist dies lediglich ein weiterer wichtiger Schritt, um das Internet sicherer zu machen. Langfristig deutet alles darauf hin, dass alle Webseiten, die weiterhin das klassische HTTP-Protokoll nutzen, als unsicher bewertet werden. Machen Sie Ihre Webseite zukunftssicher, durch die Umstellung von HTTP auf HTTPS.
„A web with ubiquitous HTTPS is not the distant future. It’s happening now, with secure browsing becoming standard for users of Chrome.“
Quelle: 03.11.2016 Chrome Security Team
Anfangs haben viele Website-Betreiber diese Ankündigung noch ignoriert, doch seit dem 01.01.2017 machen Google & Co. ernst. In Browsern erscheinen Warnungen, an denen kein Website-Besucher mehr vorbeikommt.
Beispiel eines Warnhinweises von Google Chrome für Webseiten, die nicht über HTTPS erreichbar sind.
Beispiel eines Warnhinweises von Microsoft Edge für Webseiten, die nicht über HTTPS erreichbar sind.
Google & Co. markieren jetzt, was alle sowieso schon wissen: HTTP-Seiten sind nicht sicher
HTTP-Seiten sind nicht sicher, deshalb hat z.B. Google eine Reihe wichtiger Maßnahmen für die Umstellung von HTTP auf HTTPS ergriffen.
-
- Zum einen hat Google eine Anleitung veröffentlicht, wie Sie Ihre Webseite mit HTTPS sichern können.
Zum Tutorial: Website mit HTTPS sichern
- Zum anderen erhalten Webseiten, die über HTTPS erreichbar sind, von Google seit 2015 einen kleinen Ranking-Bonus.
Studien zeigen: Der Handlungsbedarf ist enorm
Fakt ist: Obwohl HTTPS viele Vorteile bietet (wozu vor allem die Transportverschlüsselung zählt), haben viele Website-Betreiber noch nicht auf das sichere Hypertext-Übertragungsprotokoll umgestellt. Studien zeigen: Weniger als 0,1% aller Webseiten nutzen SSL by Default und können damit zukünftig als sicher eingestuft werden.
Quelle: SSL by Default Usage Statistics
Die Konsequenz: Besucher von Webseiten – insbesondere von Webseiten, die sensible Daten wie zum Beispiel Passwörter, Bankverbindungen oder Kreditkarteninformationen erheben – werden einem erhöhten Missbrauchsrisiko ausgesetzt.
Aber auch das Nutzerverhalten ändert sich. So zeigt zum Beispiel der Transparenzbericht von Google, dass der Anteil der über HTTPS aufgerufen Webseiten im Chrome-Browser seit April 2015 kontinuierlich wächst – und zwar weltweit: unabhängig vom verwendeten Betriebssystem.
Anfang Februar 2017 ergaben sich folgende Werte für HTTPS-Aufrufe:
- 47 % HTTPS-Aufrufe auf Android-Betriebssystemen
- 54 % HTTPS-Aufrufe auf Windows-Betriebssystemen
- Bei MAC-Usern und Chrome OS-Usern lag die Anzahl der HTTPS-Aufrufe sogar bei 63% bzw. 68%
Quelle: Google Transparency Report – HTTPS Usage
Der Trend ist eindeutig: Immer mehr User legen Wert auf gesicherte Verbindungen. Als Website-Betreiber sind Sie daher mehr denn je gefordert, Ihre Webseite (wenn diese aktuell lediglich per HTTP erreichbar ist) auf eine gesicherte Verbindung via HTTPS umzustellen.
Keine Sorge, in diesem Beitrag haben wir Ihnen die wichtigsten Informationen und Tipps zusammengestellt, damit die Umstellung von HTTP auf HTTPS so reibungslos wie möglich läuft.
Die wichtigsten Punkte zur Umstellung von HTTP auf HTTPS
1. Steigern Sie das Vertrauen in Ihre Webseite
Wenn Sie auf Ihrer Webseite sensible Kundeninformationen abfragen (Bank- oder Kreditkarteninformationen, Anmeldedaten, Persönliche Daten, Kontaktadressen etc.) ist HTTPS eine gute Möglichkeit, Ihre Besucher zu beruhigen, da Ihre Website in Browsern als sicher kennzeichnet wird. Denken Sie immer dran: Vertrauens- und Glaubwürdigkeit sind entscheidende Faktoren für den Erfolg Ihres Internetauftritts. Aber es gibt noch weitere Gründe, weshalb Sie schnellstmöglich eine Umstellung von HTTP auf HTTPS planen sollten.
2. HTTPS kann Ihr ist Ranking verbessern
Seit 2015 belohnt Google HTTPS-Seiten mit einem kleinen Ranking-Bonus. Das bedeutet: HTTPS kann Ihnen helfen, Ihrer Website einen kleinen Schub in den Suchergebnissen zu geben.
Weitere Informationen zu HTTPS als Ranking-Faktor finden Sie im Beitrag: HTTPS as a ranking signal von Zineb Ait Bahajji und Gary Illyes, Webmaster Trend Analysten.
3. Bitte beachten Sie, dass Google die Umstellung von HTTP auf HTTPS wie einen Domainumzug bewertet
Auch wenn es sich scheinbar nur um eine Änderung des Protokolls von HTTP zu HTTPS handelt, bewertet Google HTTP-URLS und HTTPS-URLS als unterschiedliche URLs. Sie sollten die Umstellung von HTTP auf HTTPS also wie einen Domain-Umzug angehen.
- Während der Umstellung kann es zu kleinen, temporären Veränderungen beim Ranking Ihrer Seite kommen
- Gleichzeitig profitieren HTTPS-Seiten von einem kleinen Ranking-Bonus.
Wenn Sie richtig vorgehen, sollte es keine negativen Veränderungen geben.
4. HTTPS-Seiten laden schneller als HTTP
Schnellere Ladezeiten sind ein weiterer wichtiger Grund, um auf das sichere HyperText Transfer Protocol (HTTPS) umzustellen, denn eine sichere Verbindung ermöglicht die Nutzung von HTTP/2. Ihre Webseiten können dadurch deutlich schneller laden als mit dem klassischen Hypertext Transfer Protocol (HTTP).
Überprüfen Sie es selbst, z.B. mit dem HTTP- vs HTTPS-Test.
5. Profitieren Sie von zuverlässigeren Referral-Daten
Google Analytics blockiert Verweise von HTTPS zu HTTP. Alle HTTPS- zu HTTP-Verweise werden als direkter Traffic (Direct Traffic) gewertet. Je mehr Seiten Sie also auf HTTPS migrieren, desto weniger Sorgen müssen Sie sich über einen möglichen Referral-Traffic-Verlust machen und desto zuverlässiger sind Ihre Daten.
6. Wählen Sie professionelle SSL-Zertifikate für Ihre Webseite
Wählen Sie ein SSL-Zertifikat, das zu Ihrer Website und Ihren Ansprüchen passt. Bei Host Europe bieten wir Ihnen drei unterschiedliche Arten von SSL-Zertifikaten an:
- Einfache, domaingeprüfte SSL-Zertifikate sind ideal für kleinere Webseiten und Unternehmen. Diese Zertifikate sind eine kostengünstige Lösung und bieten Ihnen grundlegende Sicherheit durch verschlüsselte Verbindungen.
- Organisation SSL-Zertifikate sind die hochwertige Lösung für gewerbliche Seiten, Shops und Login-Bereiche. Sie bieten eine sichere Lösung, um z.B. Online-Zahlungen von Kunden zu ermöglichen. Kunden können sich mittels Zertifikat über den Betreiber der Webseite informieren.
- Extended SSL-Zertifikate bieten ein Höchstmaß an Sicherheit für Shops, Online Banking und große Unternehmensseiten.Hierbei handelt es sich um die Premiumlösung im Bereich SSL.
Hier finden Sie eine Übersicht und weitere Informationen zu den SSL-Zertifikaten von Host Europe
Unabhängig davon, welches Zertifikat Sie wählen, sollten Sie die Empfehlungen von Google bei der Auswahl einer SSL berücksichtigen:
- Verwenden Sie professionelle SSL-Zertifikate
- Wählen Sie ein hohes Maß an Sicherheit mit einer Schlüssellänge von 2.048-Bit. Verwenden Sie bereits ein Zertifikat mit einem schwächeren Schlüssel, sollten Sie dieses möglichst upgraden.
- Prüfen Sie, ob Sie Ihr Zertifikat auf die richtige Domain registriert haben.
- Ältere OpenSSL-Zertifikate stellen ein mögliches Risiko dar. Stellen Sie sicher, dass Sie die neuesten und aktuellsten Versionen von TLS-Bibliotheken verwenden.
Tipps zur Einbindung von Let’s Encrypt-Zertifikaten mittels Plesk Onyx finden Sie hier.
7. Verschaffen Sie sich einen Überblick über Ihre aktuellen Website-URLs
Legen Sie eine Liste mit allen aktuellen Website-URLs an. Stellen Sie sicher, dass Sie neben Ihren Hauptseiten auch alle untergeordneten Seiten sowie alle Sub-Domains erfassen. Nur so können Sie nach dem Umzug überprüfen, ob wirklich alle URLs ordnungsgemäß auf HTTPS umgestellt worden sind.
Nutzen Sie Crawler, um wirklich alle Ihre URLs zu erfassen.
Tipp: Bevor Sie mit der Umstellung auf HTTPS beginnen, sollten Sie unbedingt ein vollständiges Update Ihrer Webseite erstellen und dieses idealerweise in einer Entwicklungsumgebung einspielen. So können Sie vorab alles überprüfen, bevor Sie mit der eigentlichen Umstellung auf HTTPS beginnen. Mit der Testumstellung können Sie die Auswirkungen der HTTPS-Migration deutlich minimieren und möglicherweise sogar ganz eliminieren.
8. Installieren Sie ein SSL-Zertifikat auf dem Server bzw. Ihrem Webhosting-Produkt und überprüfen Sie, ob die Installation korrekt ist
Bestellen Sie ein SSL-Zertifikat und binden Sie dieses auf Ihrem Server bzw. Ihrem Webhosting-Produkt ein. Bei Host Europe können Sie selbstverständlich auch ein bestehendes bzw. ein externes SSL-Zertifikat nutzen.
Anleitungen zur Einbindung finden Sie in den folgenden Artikeln:
- So binden Sie ein SSL-Zertifikat auf einem selbstadministrierten Server ein
- So einfach richten Sie ein SSL-Zertifikat für Webhosting-Produkte ein
9. Verbessern Sie die Ladezeiten Ihrer Webseite mit HTTPS
Sie können die Ladezeit Ihrer Website deutlich optimieren, indem Sie beispielsweise HTTP /2 verwenden, das nur in Verbindung mit HTTPS funktioniert. HTTP/2 (auch HTTP/2.0 genannt) ist die neueste Version des Hypertext Transfer Protokolls. Es basiert auf dem SPDY-Protokoll und wurde von Google speziell dafür entwickelt, die Geschwindigkeit und Leistung des Browsers beim Seitenaufbau zu verbessern.
Die wesentlichen Verbesserungen von HTTP/2 sind z.B.
- der Aufbau einer effizienteren Datenverbindung – so können mehrere Anfragen zusammengefasst werden
- neue Formen der Datenkompression
- binar kodierte Übertragung von Inhalten
- und vieles mehr
Weitere Informationen zu SPDY von Google
10. Ändern Sie Ihre URLs von HTTP zu HTTPS
Je nachdem, welches CMS Sie verwenden, stehen Ihnen verschiedene Optionen für die Umbenennung Ihrer URLS zur Verfügung:
-
- Sie können protokollbezogene relative URLs verwenden
- Sie können die URLS mittels „Suchen und Ersetzen“ in der Datenbank ändern
z.B. mit dem https://wordpress.org/plugins/wp-migrate-db/“ target=“_blank“>WordPress-Plug-In Migrate DB Pro
-
- Verwenden Sie ein SSL Plug-in
z.B. das WordPress-Plug-In Really Simple
11. Die wichtigsten Tipps zu URL-Änderungen
- Stellen Sie sicher, dass alle kanonischen URLs und hreflang-URLs (Sprach- und/oder regionale URLS) auch auf den neuen HTTPS-Speicherort verweisen.
- Finden Sie alle Subdomains, die Ihre Hauptdomäne auch verwenden, und stellen Sie sicher, dass auch diese über HTTPS ausgeliefert werden.
- Selbst wenn Sie eine serverseitige Weiterleitung eingerichtet haben, ist es besser, HTTP-URLS mit HTTPS-URLs zu ersetzen. Denn wenn Sie stets alle Umleitungen aufrufen, würde dies die Ladezeit Ihrer Seite deutlich verlangsamen.
- Prüfen Sie alle Plug-Ins oder Module, ob diese korrekt mit den aktualisierten HTTPS-URLs arbeiten.
12. Aktualisieren Sie interne Ressourcen auf HTTPS
Achten Sie darauf, dass alle Bilder, Scripts und CSS-Dateien über gesicherte HTTPS-Verbindungen abgerufen werden. Idealerweise sollten auch externe Skripte und andere Ressourcen über sicheren URLs abgerufen werden.
Tipp: Überprüfen Sie Ihre Seite und stellen Sie sicher, dass Sie nichts verpasst haben
Für einen Schnellcheck eignet sich z.B. der https://www.jitbit.com/sslcheck/“ target=“_blank“>SSL Check von JitBit
Die zuverlässigste Methode ist es, wenn Sie Ihre Website vollständig crawlen. Wir empfehlen Ihnen dafür Crawler wie Screaming Frog und Xenu zu kombinieren.
13. Erstellen Sie 301 Weiterleitungen von HTTP zu HTTPS-URLs
Um sicherzustellen, dass Ihre Seite ausschließlich über HTTPS ausgeliefert wird, sollten Sie serverseitige 301-Weiterleitungen über die .htaccess- oder config-Datei einrichten. Auf diese Weise müssen Sie keine Umleitungen für jede einzelne URL erstellen, sondern können eine Regel verwenden, die HTTPS erzwingt.
Tipp:
Minimieren Sie Redirect-Ketten. Wenn Sie zum Beispiel von einer alten URL (A) auf eine neue URL (B) umleiten und diese jetzt zu einer neuen https-URL (C) umleitet, sollten Sie die Umleitung der alten URL (A) aktualisieren, indem Sie direkt auf die neue https-URL (C) leiten. Sie sparen dabei die mittlere Umleitung. Auf diese Weise erhalten Sie Umleitungspaare wie: „von A direkt nach C“ und „von B nach C“.
14. Aktualisieren Sie Sitemaps und Robots.txt-Dateien
Wenn Sie 301-Weiterleitungen einrichten, sollten Sie sicherstellen, dass in der robots.txt alles, was bisher über http adressiert wurde, korrekt auf https umgestellt wird. Eigentlich sollte das selbstverständlich sein, wird aber immer mal wieder übersehen.
15. Überprüfen Sie die neue HTTPS-Eigenschaft Ihrer Webseite mit der Google Search Console
Wir empfehlen Ihnen, alle URLs abzurufen und zu crawlen, damit Google Ihre URLs schneller ermitteln kann.
Tipp: Wenn Sie mit dem Google Disavow-Tool eine disavow-Datei für Ihre HTTP-Website erstellen haben, sollten Sie eine Kopie davon auch mit Ihrem neuen HTTPS-Profil erstellen.
16. Aktualisieren Sie Ihr Google Analytics-Profil mit den neuen HTTPS-URLs
Wenn Sie ein Analyse-Tool wie Google Analytics verwenden, müssen Sie sicherstellen, dass Sie HTTPS als Standard-URL Ihrer Webseite angeben.
17. Aktualisieren Sie PPC-URLs auf das neue HTTPS-Profil
Stellen Sie sicher, dass Sie bei allen PPC-Zielseiten die HTTP- durch die HTTPS-Version der URL ersetzen, sodass der Zielseitenwert durch die Umstellung nicht beeinflusst wird.
Tipp: Selbstverständlich wollen Sie die Social Media-Interaktionen zu Ihrer Seite auch nach der Umstellung auf HTTPS weiter nutzen.
18. Aktualisieren Sie eingehende Links
Idealerweise sollten Sie die Betreiber von allen Webseiten kontaktieren, die mit Ihrer Webseite verknüpft sind, damit diese wissen, dass Ihre URLs jetzt unter HTTPS erreichbar sind.
19. Aktualisieren Sie Ihre CDN-URLs, wenn Sie ein CDN verwenden
Wenn Sie ein Content Delivery Network (CDN) nutzen, um die Ladezeit Ihrer Seite zu beschleunigen, z. B. SiteLock, BootstrapCDN oder CloudFlare etc., sollten Sie sicherstellen, dass alle Inhalte, die jetzt über HTTPS-Verbindungen erreichbar sind, auch über das CDN ausgeliefert werden können.
20. Überwachen Sie die Auswirkung genau
Nach der Umstellung auf HTTPS sollten Sie alle wichtigen Parameter genau beobachten. Prüfen Sie z.B., wie sich der Traffic Ihrer Webseite und die CTR entwickeln. Checken Sie, ob Ihre Sozial Media Kanäle wie gewohnt funktionieren. …
21. Häufige Probleme, die Sie bei der Umstellung von HTTP auf HTTPS haben könnten
Zum Abschluss möchte ich Sie auf die drei häufigsten Fehler hinweisen, die bei der Umstellung auf HTTPS auftreten können.
- Google kann Ihre HTTPS-URLs nicht crawlen.
Tipp: Checken Sie, ob der Crawler nicht versehentlich von der robots.txt oder einem vergessenen noindex-Tag blockiert wird. - Das Problem von Duplicate Content.
Tipp: Achten Sie darauf, dass Sie von allen HTTP-Seiten korrekt auf HTTPS weiterleiten. - Nicht alle HTTP-URLs wurden durch äquivalente HTTPS-URLS ersetzt.
Tipp: Siehe Abschnitt 12.
Wie Sie Traffic-Einbußen durch Migrationsfehler z.B. bei der Umstellung von HTTP auf HTTPS beheben
Wenn Sie die oben erwähnten Fehler vermeiden und den Empfehlungen in diesem Beitrag folgen, sollte die Migration Ihrer Seite auf HTTPS ohne Probleme funktionieren. Für den Fall, dass dennoch unvorhergesehene Probleme auftauchen sollten, habe ich noch eine Empfehlung für Sie: den Artikel von Aleyda Solis im MOZ Blog – Recovering Your Organic Search Traffic from a Web Migration Gone Wrong
In diesem Artikel finden Sie wichtige Tipps, wie Sie Traffic-Einbußen, die durch Migrationsfehler verursacht worden sind, schnell und sicher erkennen und beheben können.
Jetzt ist es an Ihnen. Sind Sie bereit für die Umstellung von HTTP auf HTTPS?
Sie suchen Tipps, wie Sie kostengünstige eine Landingpage oder eine Website erstellen können? Hier finden Sie mehr Informationen zum Thema Website erstellen.
Sie haben Anregungen oder Fragen zum Thema Umstellung von HTTP auf HTTPS? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.