Seit Januar 2017 werden unverschlüsselte Webseiten, auf denen Passwörter, Bankverbindungen oder Kreditkarteninformationen abgefragt werden, von wichtigen Browsern wie z.B. Google Chrome, Mozilla Firefox, Microsoft Edge u.a. als „unsicher“ gekennzeichnet. Nach der offiziellen Ankündigung von Google im Google Security Blog ist dies lediglich ein weiterer wichtiger Schritt, um das Internet sicherer zu machen. Langfristig deutet alles darauf hin, dass alle Webseiten, die weiterhin das klassische HTTP-Protokoll nutzen, als unsicher bewertet werden. Machen Sie Ihre Webseite zukunftssicher, durch die Umstellung von HTTP auf HTTPS.

„A web with ubiquitous HTTPS is not the distant future. It’s happening now, with secure browsing becoming standard for users of Chrome.“

Quelle: 03.11.2016 Chrome Security Team

Anfangs haben viele Website-Betreiber diese Ankündigung noch ignoriert, doch seit dem 01.01.2017 machen Google & Co. ernst. In Browsern erscheinen Warnungen, an denen kein Website-Besucher mehr vorbeikommt.

Abbildung - Sicherheitswarnung - Google Chrome
Beispiel eines Warnhinweises von Google Chrome für Webseiten, die nicht über HTTPS erreichbar sind.

Abbildung - Sicherheitswarnung - Microsoft Edge
Beispiel eines Warnhinweises von Microsoft Edge für Webseiten, die nicht über HTTPS erreichbar sind.

Google & Co. markieren jetzt, was alle sowieso schon wissen: HTTP-Seiten sind nicht sicher

HTTP-Seiten sind nicht sicher, deshalb hat z.B. Google eine Reihe wichtiger Maßnahmen für die Umstellung von HTTP auf HTTPS ergriffen.

    • Zum einen hat Google eine Anleitung veröffentlicht, wie Sie Ihre Webseite mit HTTPS sichern können.

Zum Tutorial: Website mit HTTPS sichern

  • Zum anderen erhalten Webseiten, die über HTTPS erreichbar sind, von Google seit 2015 einen kleinen Ranking-Bonus.

Studien zeigen: Der Handlungsbedarf ist enorm

Fakt ist: Obwohl HTTPS viele Vorteile bietet (wozu vor allem die Transportverschlüsselung zählt), haben viele Website-Betreiber noch nicht auf das sichere Hypertext-Übertragungsprotokoll umgestellt. Studien zeigen: Weniger als 0,1% aller Webseiten nutzen SSL by Default und können damit zukünftig als sicher eingestuft werden.

Quelle: SSL by Default Usage Statistics

Die Konsequenz:  Besucher von Webseiten – insbesondere von Webseiten, die sensible Daten wie zum Beispiel Passwörter, Bankverbindungen oder Kreditkarteninformationen erheben – werden einem erhöhten Missbrauchsrisiko ausgesetzt.

Aber auch das Nutzerverhalten ändert sich. So zeigt zum Beispiel der Transparenzbericht von Google, dass der Anteil der über HTTPS aufgerufen Webseiten im Chrome-Browser seit April 2015 kontinuierlich wächst – und zwar weltweit: unabhängig vom verwendeten Betriebssystem.

Anfang Februar 2017 ergaben sich folgende Werte für HTTPS-Aufrufe:

Abbildung - Google Transparency Report

  • 47 % HTTPS-Aufrufe auf Android-Betriebssystemen
  • 54 % HTTPS-Aufrufe auf Windows-Betriebssystemen
  • Bei MAC-Usern und Chrome OS-Usern lag die Anzahl der HTTPS-Aufrufe sogar bei 63% bzw. 68%

Quelle: Google Transparency Report – HTTPS Usage

Der Trend ist eindeutig: Immer mehr User legen Wert auf gesicherte Verbindungen. Als Website-Betreiber sind Sie daher mehr denn je gefordert, Ihre Webseite (wenn diese aktuell lediglich per HTTP erreichbar ist) auf eine gesicherte Verbindung via HTTPS umzustellen.

Keine Sorge, in diesem Beitrag haben wir Ihnen die wichtigsten Informationen und Tipps zusammengestellt, damit die Umstellung von HTTP auf HTTPS so reibungslos wie möglich läuft.

Die wichtigsten Punkte zur Umstellung von HTTP auf HTTPS

1. Steigern Sie das Vertrauen in Ihre Webseite

Wenn Sie auf Ihrer Webseite sensible Kundeninformationen abfragen (Bank- oder Kreditkarteninformationen, Anmeldedaten, Persönliche Daten, Kontaktadressen etc.) ist HTTPS eine gute Möglichkeit, Ihre Besucher zu beruhigen, da Ihre Website in Browsern als sicher kennzeichnet wird. Denken Sie immer dran: Vertrauens- und Glaubwürdigkeit sind entscheidende Faktoren für den Erfolg Ihres Internetauftritts. Aber es gibt noch weitere Gründe, weshalb Sie schnellstmöglich eine Umstellung von HTTP auf HTTPS planen sollten.

2. HTTPS kann Ihr ist Ranking verbessern

Seit 2015 belohnt Google HTTPS-Seiten mit einem kleinen Ranking-Bonus. Das bedeutet: HTTPS kann Ihnen helfen, Ihrer Website einen kleinen Schub in den Suchergebnissen zu geben.

Weitere Informationen zu HTTPS als Ranking-Faktor finden Sie im Beitrag: HTTPS as a ranking signal von Zineb Ait Bahajji und Gary Illyes, Webmaster Trend Analysten.

3. Bitte beachten Sie, dass Google die Umstellung von HTTP auf HTTPS wie einen Domainumzug bewertet

Auch wenn es sich scheinbar nur um eine Änderung des Protokolls von HTTP zu HTTPS handelt, bewertet Google HTTP-URLS und HTTPS-URLS als unterschiedliche URLs. Sie sollten die Umstellung von HTTP auf HTTPS also wie einen Domain-Umzug angehen.

  • Während der Umstellung kann es zu kleinen, temporären Veränderungen beim Ranking Ihrer Seite kommen
  • Gleichzeitig profitieren HTTPS-Seiten von einem kleinen Ranking-Bonus.

Wenn Sie richtig vorgehen, sollte es keine negativen Veränderungen geben.

4. HTTPS-Seiten laden schneller als HTTP

Schnellere Ladezeiten sind ein weiterer wichtiger Grund, um auf das sichere HyperText Transfer Protocol (HTTPS) umzustellen, denn eine sichere Verbindung ermöglicht die Nutzung von HTTP/2. Ihre Webseiten können dadurch deutlich schneller laden als mit dem klassischen Hypertext Transfer Protocol (HTTP).

Überprüfen Sie es selbst, z.B. mit dem HTTP- vs HTTPS-Test.

5. Profitieren Sie von zuverlässigeren Referral-Daten

Google Analytics blockiert Verweise von HTTPS zu HTTP. Alle HTTPS- zu HTTP-Verweise werden als direkter Traffic (Direct Traffic) gewertet. Je mehr Seiten Sie also auf HTTPS migrieren, desto weniger Sorgen müssen Sie sich über einen möglichen Referral-Traffic-Verlust machen und desto zuverlässiger sind Ihre Daten.

6. Wählen Sie professionelle SSL-Zertifikate für Ihre Webseite

Wählen Sie ein SSL-Zertifikat, das zu Ihrer Website und Ihren Ansprüchen passt. Bei Host Europe bieten wir Ihnen drei unterschiedliche Arten von SSL-Zertifikaten an:

  • Einfache, domaingeprüfte SSL-Zertifikate sind ideal für kleinere Webseiten und Unternehmen. Diese Zertifikate sind eine kostengünstige Lösung und bieten Ihnen grundlegende Sicherheit durch verschlüsselte Verbindungen.
  • Organisation SSL-Zertifikate sind die hochwertige Lösung für gewerbliche Seiten, Shops und Login-Bereiche. Sie bieten eine sichere Lösung, um z.B. Online-Zahlungen von Kunden zu ermöglichen. Kunden können sich mittels Zertifikat über den Betreiber der Webseite informieren.
  • Extended SSL-Zertifikate bieten ein Höchstmaß an Sicherheit für Shops, Online Banking und große Unternehmensseiten.Hierbei handelt es sich um die Premiumlösung im Bereich SSL.

Hier finden Sie eine Übersicht und weitere Informationen zu den SSL-Zertifikaten von Host Europe

Unabhängig davon, welches Zertifikat Sie wählen, sollten Sie die Empfehlungen von Google bei der Auswahl einer SSL berücksichtigen:

  • Verwenden Sie professionelle SSL-Zertifikate
  • Wählen Sie ein hohes Maß an Sicherheit mit einer Schlüssellänge von 2.048-Bit. Verwenden Sie bereits ein Zertifikat mit einem schwächeren Schlüssel, sollten Sie dieses möglichst upgraden.
  • Prüfen Sie, ob Sie Ihr Zertifikat auf die richtige Domain registriert haben.
  • Ältere OpenSSL-Zertifikate stellen ein mögliches Risiko dar. Stellen Sie sicher, dass Sie die neuesten und aktuellsten Versionen von TLS-Bibliotheken verwenden.

7. Verschaffen Sie sich einen Überblick über Ihre aktuellen Website-URLs

Legen Sie eine Liste mit allen aktuellen Website-URLs an. Stellen Sie sicher, dass Sie neben Ihren Hauptseiten auch alle untergeordneten Seiten sowie alle Sub-Domains erfassen. Nur so können Sie nach dem Umzug überprüfen, ob wirklich alle URLs ordnungsgemäß auf HTTPS umgestellt worden sind.

Nutzen Sie Crawler, um wirklich alle Ihre URLs zu erfassen.

Tipp: Bevor Sie mit der Umstellung auf HTTPS beginnen, sollten Sie unbedingt ein vollständiges Update Ihrer Webseite erstellen und dieses idealerweise in einer Entwicklungsumgebung einspielen. So können Sie vorab alles überprüfen, bevor Sie mit der eigentlichen Umstellung auf HTTPS beginnen. Mit der Testumstellung können Sie die Auswirkungen der HTTPS-Migration deutlich minimieren und möglicherweise sogar ganz eliminieren.

8. Installieren Sie ein SSL-Zertifikat auf dem Server bzw. Ihrem Webhosting-Produkt und überprüfen Sie, ob die Installation korrekt ist

Bestellen Sie ein SSL-Zertifikat und binden Sie dieses auf Ihrem Server bzw. Ihrem Webhosting-Produkt ein. Bei Host Europe können Sie selbstverständlich auch ein bestehendes bzw. ein externes SSL-Zertifikat nutzen.

Anleitungen zur Einbindung finden Sie in den folgenden Artikeln:

9. Verbessern Sie die Ladezeiten Ihrer Webseite mit HTTPS

Sie können die Ladezeit Ihrer Website deutlich optimieren, indem Sie beispielsweise HTTP /2 verwenden, das nur in Verbindung mit HTTPS funktioniert. HTTP/2 (auch HTTP/2.0 genannt) ist die neueste Version des Hypertext Transfer Protokolls. Es basiert auf dem SPDY-Protokoll und wurde von Google speziell dafür entwickelt, die Geschwindigkeit und Leistung des Browsers beim Seitenaufbau zu verbessern.

Die wesentlichen Verbesserungen von HTTP/2 sind z.B.

  • der Aufbau einer effizienteren Datenverbindung – so können mehrere Anfragen zusammengefasst werden
  • neue Formen der Datenkompression
  • binar kodierte Übertragung von Inhalten
  • und vieles mehr

Weitere Informationen zu SPDY von Google

10. Ändern Sie Ihre URLs von HTTP zu HTTPS

Je nachdem, welches CMS Sie verwenden, stehen Ihnen verschiedene Optionen für die Umbenennung Ihrer URLS zur Verfügung:

 

11. Die wichtigsten Tipps zu URL-Änderungen

  • Stellen Sie sicher, dass alle kanonischen URLs und hreflang-URLs (Sprach- und/oder regionale URLS) auch auf den neuen HTTPS-Speicherort verweisen.
  • Finden Sie alle Subdomains, die Ihre Hauptdomäne auch verwenden, und stellen Sie sicher, dass auch diese über HTTPS ausgeliefert werden.
  • Selbst wenn Sie eine serverseitige Weiterleitung eingerichtet haben, ist es besser, HTTP-URLS mit HTTPS-URLs zu ersetzen. Denn wenn Sie stets alle Umleitungen aufrufen, würde dies die Ladezeit Ihrer Seite deutlich verlangsamen.
  • Prüfen Sie alle Plug-Ins oder Module, ob diese korrekt mit den aktualisierten HTTPS-URLs arbeiten.

12. Aktualisieren Sie interne Ressourcen auf HTTPS

Achten Sie darauf, dass alle Bilder, Scripts und CSS-Dateien über gesicherte HTTPS-Verbindungen abgerufen werden. Idealerweise sollten auch externe Skripte und andere Ressourcen über sicheren URLs abgerufen werden.

Tipp: Überprüfen Sie Ihre Seite und stellen Sie sicher, dass Sie nichts verpasst haben

Für einen Schnellcheck eignet sich z.B. der https://www.jitbit.com/sslcheck/“ target=“_blank“>SSL Check von JitBit

Die zuverlässigste Methode ist es, wenn Sie Ihre Website vollständig crawlen. Wir empfehlen Ihnen dafür Crawler wie Screaming Frog und Xenu zu kombinieren.

Zu Screaming Frog
Zu Xenu

13. Erstellen Sie 301 Weiterleitungen von HTTP zu HTTPS-URLs

Um sicherzustellen, dass Ihre Seite ausschließlich über HTTPS ausgeliefert wird, sollten Sie serverseitige 301-Weiterleitungen über die .htaccess- oder config-Datei einrichten. Auf diese Weise müssen Sie keine Umleitungen für jede einzelne URL erstellen, sondern können eine Regel verwenden, die HTTPS erzwingt.

Tipp: Das Handbuch von Geekflare erklärt Ihnen, wie Sie HTTP zu HTTPS-Umleitungen auf verschiedenen Hosting-Plattformen einrichten.

Tipp:
Minimieren Sie Redirect-Ketten. Wenn Sie zum Beispiel von einer alten URL (A) auf eine neue URL (B) umleiten und diese jetzt zu einer neuen https-URL (C) umleitet, sollten Sie die Umleitung der alten URL (A) aktualisieren, indem Sie direkt auf die neue https-URL (C) leiten. Sie sparen dabei die mittlere Umleitung. Auf diese Weise erhalten Sie Umleitungspaare wie: „von A direkt nach C“ und „von B nach C“.

14. Aktualisieren Sie Sitemaps und Robots.txt-Dateien

Wenn Sie 301-Weiterleitungen einrichten, sollten Sie sicherstellen, dass in der robots.txt alles, was bisher über http adressiert wurde, korrekt auf https umgestellt wird. Eigentlich sollte das selbstverständlich sein, wird aber immer mal wieder übersehen.

15. Überprüfen Sie die neue HTTPS-Eigenschaft Ihrer Webseite mit der Google Search Console

Wir empfehlen Ihnen, alle URLs abzurufen und zu crawlen, damit Google Ihre URLs schneller ermitteln kann.

Tipp: Wenn Sie mit dem Google Disavow-Tool eine disavow-Datei für Ihre HTTP-Website erstellen haben, sollten Sie eine Kopie davon auch mit Ihrem neuen HTTPS-Profil erstellen.

16. Aktualisieren Sie Ihr Google Analytics-Profil mit den neuen HTTPS-URLs

Wenn Sie ein Analyse-Tool wie Google Analytics verwenden, müssen Sie sicherstellen, dass Sie HTTPS als Standard-URL Ihrer Webseite angeben.

17. Aktualisieren Sie PPC-URLs auf das neue HTTPS-Profil

Stellen Sie sicher, dass Sie bei allen PPC-Zielseiten die HTTP- durch die HTTPS-Version der URL ersetzen, sodass der Zielseitenwert durch die Umstellung nicht beeinflusst wird.

Tipp: Selbstverständlich wollen Sie die Social Media-Interaktionen zu Ihrer Seite auch nach der Umstellung auf HTTPS weiter nutzen. Wie Sie vorgehen und was Sie dabei beachten sollten, finden Sie im Beitrag von Search Engine Watch.

18. Aktualisieren Sie eingehende Links

Idealerweise sollten Sie die Betreiber von allen Webseiten kontaktieren, die mit Ihrer Webseite verknüpft sind, damit diese wissen, dass Ihre URLs jetzt unter HTTPS erreichbar sind.

19. Aktualisieren Sie Ihre CDN-URLs, wenn Sie ein CDN verwenden

Wenn Sie ein Content Delivery Network (CDN) nutzen, um die Ladezeit Ihrer Seite zu beschleunigen, z. B. SiteLock, BootstrapCDN oder CloudFlare etc., sollten Sie sicherstellen, dass alle Inhalte, die jetzt über HTTPS-Verbindungen erreichbar sind, auch über das CDN ausgeliefert werden können.

20. Überwachen Sie die Auswirkung genau

Nach der Umstellung auf HTTPS sollten Sie alle wichtigen Parameter genau beobachten. Prüfen Sie z.B., wie sich der Traffic Ihrer Webseite und die CTR entwickeln. Checken Sie, ob Ihre Sozial Media Kanäle wie gewohnt funktionieren. …

21. Häufige Probleme, die Sie bei der Umstellung von HTTP auf HTTPS haben könnten

Zum Abschluss möchte ich Sie auf die drei häufigsten Fehler hinweisen, die bei der Umstellung auf HTTPS auftreten können.

  • Google kann Ihre HTTPS-URLs nicht crawlen.
    Tipp: Checken Sie, ob der Crawler nicht versehentlich von der robots.txt oder einem vergessenen noindex-Tag blockiert wird.
  • Das Problem von Duplicate Content.
    Tipp: Achten Sie darauf, dass Sie von allen HTTP-Seiten korrekt auf HTTPS weiterleiten.
  • Nicht alle HTTP-URLs wurden durch äquivalente HTTPS-URLS ersetzt.
    Tipp: Siehe Abschnitt 12.

Wie Sie Traffic-Einbußen durch Migrationsfehler z.B. bei der Umstellung von HTTP auf HTTPS beheben

Wenn Sie die oben erwähnten Fehler vermeiden und den Empfehlungen in diesem Beitrag folgen, sollte die Migration Ihrer Seite auf HTTPS ohne Probleme funktionieren. Für den Fall, dass dennoch unvorhergesehene Probleme auftauchen sollten, habe ich noch eine Empfehlung für Sie: den Artikel von Aleyda Solis im MOZ Blog – Recovering Your Organic Search Traffic from a Web Migration Gone Wrong

In diesem Artikel finden Sie wichtige Tipps, wie Sie Traffic-Einbußen, die durch Migrationsfehler verursacht worden sind, schnell und sicher erkennen und beheben können.

Jetzt ist es an Ihnen. Sind Sie bereit für die Umstellung von HTTP auf HTTPS?

Sie haben Anregungen oder Fragen zum Thema Umstellung von HTTP auf HTTPS? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.

 

 

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

8 thoughts on “Umstellung von HTTP auf HTTPS – Auf diese Punkte sollten Sie achten!

  1. Guten Abend,

    als kleine Ergänzung zum Punkt „5. Profitieren Sie von zuverlässigeren Referral-Daten“ möchte ich noch auf das META Tag „referrer“ hinweisen (siehe auch https://www.w3.org/TR/referrer-policy/#referrer-policies ). Dieses Tag könnte interessant sein, wenn ein Link von HTTPS- zu HTTP gesetzt wird und bspw. durch einen Blogpost durchaus gewollt auch ein Hinweis auf eine HTTP URL gesetzt wird.

    Ergänzend zum Punkt „18. Aktualisieren Sie eingehende Links“ sollten neben anderen Websites auch die eigenen Websites überprüft werden, ob diese auch auf die neue URL verweisen. Dieses gilt insbesondere auch für soziale Profile (G+, twitter, fb, xing) oder auch selten genutzte Seiten die vielleicht länger nicht mehr genutzt worden sind.

    Auch Meta Tags (bspw. OpenGraph Tags) wie meta property=“article:publisher“ sollten dann auch auf die https Variante der eigenen Facebookpage verweisen ;-).

    Ansonsten empfinde ich diese ToDo Liste allerdings tatsächlich hilfreich und ich bin froh darüber hier ebenfalls noch einmal die eigene Umstellung Punkt für Punkt auf diese Punkte geprüft zu haben. 🙂

    Vielen Dank dafür und ein angenehmes Wochenende
    Andreas Unkelbach

  2. Hallo Herr Fiege,

    toller Beitrag, habe schon vor einiger Zeit auf https umgestellt. Aber unterstützt HE auch HTTP/2 in den Webserver-Paketen (bzw. Virtual Server Managed)?

    Würde dies gern für Nextcloud 11 nutzen, um die Web-GUI zu beschleunigen, die wohl darauf optimiert wurde.

    Danke & Grüße!
    Tim Soss

    • Hallo Herr Soss,
      die Umstellung auf HTTP/2 ist aktuell bei selbst-administrierten Serverprodukten (z.B. bei einem Virtual Server / Root Server mit Ubuntu 16) möglich. Bei WebServer-Produkten ist das technisch leider noch nicht der Fall.
      Mit besten Grüßen
      Wolf-Dieter Fiege

      • Hallo Wolf-Dieter,

        wir nutzen auch die Dedicated Server Managed und warten schon sehnlichst auf die HTTP/2-Unterstützung, um endlich den Speed-Vorteil auszunutzen. Warum dauert das so lange und wann kann man damit rechnen?

        Beste Grüße,
        Lars

        • Hallo Lars,

          bei einem Hosting-Produkt mit gemanagtem Betriebssystem, wie einem Dedicated Server Managed ist das leider noch nicht möglich. Um HTTP/2 nutzen zu können, müsstest Du auf ein selbstadministriertes Serverprodukt (einen Virtual Server oder Root Server) wechseln. Für die Administration steht Dir dabei das bedienungsfreundliche Admin-Tool Plesk zur Verfügung. Wäre das eine Alternative für Dich?

          Mit besten Grüßen
          Wolf-Dieter

  3. Interessanter und ausführlicher Artikel. Jedoch stellt sich die Frage, ob und wann Hosteurope auch Let’s Encrypt Zertifikate unterstützt. Gerade bei kleinen Webprojekten ist das eine ernstzunehmende Alternative, die von anderen Hostern schon unterstützt wird. Natürlich lässt sich damit kein Geld verdienen 😉

    Grüße,
    Andreas Richter

    • Hallo Herr Richter,

      ja, es stimmt: Let’s Encrypt Zertifikate bieten wir aktuell nicht an, da die Erstellung nicht ganz einfach ist und daher ein spezieller Support notwendig wäre.

      Sie können Let’s Encrypt Zertifikat aber jederzeit selbst erzeugen.
      Dafür gibt es folgende Clients:
      https://letsencrypt.org/docs/client-options/#browser
      Alternativ den Windows Client:
      https://letsencrypt.org/docs/client-options/#windows

      Das erzeugte Zertifikat können Sie dann über unser Kunden-Informations-System (KIS) auf Ihr WebHosting-/ WebServer-Produkt hochladen. Der Nachteil: Diese Zertifikate verlängern sich nicht automatisch, sondern müssen alle 90 Tage manuell über einen der angegebenen Clients verlängert (neu erstellt) und anschließend wieder über das KIS hochgeladen werden.

      Mit besten Grüßen
      Wolf-Dieter Fiege

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.