Umstellung von HTTP auf HTTPS – Alle Fragen, alle Antworten

Bereits seit August 2014 ist die HTTPS-Verschlüsselung ein Rankingfaktor bei Google. Seitdem hat diese stetig an Bedeutung zugenommen. Seit Anfang des Jahres beispielsweise warnt der Google-Browser Chrome alle Nutzer, wenn eine Webseite kein (gültiges) Sicherheitszertifikat vorweisen kann. Auch andere Browser haben ähnliche Warnhinweise eingeführt, insbesondere für Webseiten, auf denen persönliche Daten eingegeben werden können.

Experten gehen davon aus, dass in Zukunft alle Webseiten offensiv als unsicher gekennzeichnet werden, wenn sie sich nicht über HTTPS aufrufen lassen. Das aber ist nur einer von vielen Gründen, warum Sie sich tunlichst um ein entsprechendes Zertifikat kümmern sollten. In diesem Artikel erfahren Sie, warum HTTPS die Sicherheit Ihrer Besucher erhöht und was bei der Umstellung beachtet werden muss, damit es nicht zu Rankingverlusten kommt.

Was ist eigentlich HTTPS?

HTTP steht für “Hypertext Transfer Protocol”, zu Deutsch also “Hypertext-Übertragungsprotokoll”. Grundsätzlich handelt es sich dabei um ein zustandsloses Protokoll zur Übertragung von Daten, das aber hauptsächlich eingesetzt wird, um Webseiten, die unter anderem aus besagtem Hypertext bestehen, aus dem World Wide Web (WWW) im Webbrowser zu laden. Aus diesem Grund beginnen Internetadressen (URLs) mit “http://www.”, auch wenn das nicht explizit in das Adressfeld des Browsers geschrieben werden muss, weil dieser es ggf. automatisch ergänzt.

Neben dem Standardprotokoll gibt es mit HTTPS (“https://www.”) ein auf HTTP aufbauendes, verschlüsseltes Übertragungsprotokoll. Im Grunde ist dies nichts Anderes als HTTP, das über eine sichere SSL- oder TLS-Verbindung übertragen wird. Das führt dazu, dass die Daten, die zwischen Browser und Server ausgetauscht werden, verschlüsselt sind und auf dem Übertragungsweg nicht von Dritten abgefangen werden können. Das ist insbesondere bei der Übertragung persönlicher Daten wichtig, wie sie beispielsweise beim Online-Shopping oder Online-Banking erfolgt. Selbst wenn es Hackern gelingen sollte, die Daten abzugreifen, ist es normalerweise unmöglich diese zu entschlüsseln.

Webseiten, die HTTPS statt HTTP verwenden, gelten als sicher. Deshalb werden Teile der Browserzeile bei HTTPS-Nutzung grün angezeigt, wodurch es Internetnutzern besonders einfach gemacht wird, sichere Webseiten auf den ersten Blick zu erkennen. Allein diese visuelle Hervorhebung hat dazu geführt, dass immer mehr Menschen den Unterschied zwischen HTTP und HTTPS kennen und darauf achten. Trotzdem verwenden bisher weniger als 0,1 Prozent aller Webseiten eine Übertragungsverschlüsselung, auch wenn der HTTPS-Traffic weltweit zunimmt.

Während HTTPS Webseiten für Nutzer sicherer macht, dürfen Sie als Webmaster nicht auf den Trugschluss hereinfallen, dass dadurch auch die Webseite an sich sicherer würde. HTTPS erhöht nicht die Sicherheit der Seite selbst, sondern nur der Datenübertragung. Hacker, die beispielsweise unsichere Plugins ausnutzen, finden trotz HTTPS die gleichen Voraussetzungen vor, wie bei HTTP.

Warum sollte ich meine Webseite von HTTP auf HTTPS umstellen?

  • Webseiten mit HTTPS haben einen Rankingvorteil gegenüber Seiten ohne Verschlüsselung. Sie werden also besser in den Suchergebnissen der Suchmaschinen positioniert.
  • Viele Browser warnen immer auffälliger und eindringlicher vor Webseiten ohne Sicherheitszertifikat, was viele Internetnutzer verunsichert und schlimmstenfalls vom Kauf abhält.
  • Google-Mitarbeiter haben bereits angekündigt, dass Chrome in Zukunft vor allen Webseiten ohne HTTPS warnen wird, auch wenn dort keine sensiblen Daten eingegeben werden können. HTTPS ist also die einzige zukunftssichere Wahl.
  • Warnhinweise schrecken Käufer ab, während eine grüne Adresszeile hingegen Vertrauen schafft und sicherheitsbewusste User eher überzeugt hier zu kaufen.
  • Wer auf seiner Webseite sensible Daten abfragt, der ist aus Datenschutzgründen gezwungen, entsprechende Sicherheitsmaßnahmen zu ergreifen (§ 9 BDSG). Mit HTTPS geht das verhältnismäßig einfach und günstig.
  • Führte HTTPS früher zu längeren Ladezeiten und war damit ein Gegenargument, laden auf diese Weise verschlüsselte Seiten mittlerweile sogar schneller. Die schnellere Ladezeit ist ein weiterer Rankingvorteil.

Woher bekomme ich ein Sicherheitszertifikat?

Wer seine Webseite mittels HTTPS zukunftssicher machen will, der benötigt ein SSL-Zertifikat. Diese werden von Zertifizierungsstellen ausgestellt, die nach einer Prüfung des Domaininhabers bzw. der Organisation ein digitales Zertifikat ausstellt. Dabei handelt es sich um eine verifizierbare Datei, die Identitätsnachweise enthält, um Geräten, Webseiten und Personen zu helfen, die geprüfte Identität darzustellen.

Man kann die SSL-Zertifikate entweder direkt bei einer Zertifizierungsstelle kaufen oder bei einem Broker, der nur damit handelt und Zertifikate unterschiedlicher Zertifizierer anbietet. Letztere bieten meist eine bessere Beratung und einen Support, der auch die Installation einschließt. Da das Vertrauen in ein Sicherheitskennzeichen auch vom Vertrauen in die Ausgabestelle abhängt, sollte man diese mit Bedacht wählen.

SSL-Zertifikate sind in der Regel kostenpflichtig. Es gibt jedoch auch einige Anbieter (z. B. Let's Encrypt), die mit kostenlosen Zertifikaten locken. Diese sollten nicht grundsätzlich verteufelt werden, immerhin kann so eine Zertifizierung ganz schön ins Geld gehen, gerade wenn man über mehrere Domains und Webseiten verfügt. Kostenlose Zertifikate eignen sich in der Regel aber nur für einfache Seiten, auf denen keine Daten abgefragt werden, wie zum Beispiel kleinere Unternehmensseiten oder Blogs.

Ein Sicherheitszertifikat ist zwischen ein und fünf Jahre gültig, danach muss es erneuert werden. Eine automatische Verlängerung findet nicht statt.

Schlüssellänge beachten

Wie sicher eine Verschlüsselung ist, hängt maßgeblich von der Länge des Sicherheitsschlüssels ab. Achten Sie beim Kauf des SSL-Zertifikats deshalb darauf, dass der Schlüssel mindestens 2.048 Bit lang ist. Manche Anbieter verkaufen noch immer deutlich kleinere Schlüssel!

Welche Typen von SSL-Zertifikaten gibt es?

Bei SSL-Zertifikaten werden zunächst drei Authentifizierungsgrade unterschieden:

TypBeschreibungEinsatzzweck
Domain
Validation (DV)
Die Zertifizierungsstelle prüft das Recht des Antragsstellers, eine spezifische Domain zu verwenden. Dazu muss dieser lediglich einen Link in einer Validierungsmail anklicken, die ausschließlich an eine E-Mailadresse der Domain geschickt wird. Einige Zertifizierer bieten auch Alternativen an, wie das Hochladen eines Hashwerts in das Root-Verzeichnis des Servers. Beides kann in der Regel aber nur Inhaber der Domain machen. Dennoch bleibt festzuhalten, dass die Identität des Besitzers nicht geprüft und auch im Zertifikat nicht ausgewiesen wird. Das DV-Zertifikat bestätigt nur, dass die Verbindung verschlüsselt ist. Dafür dauert das gesamte Prozedere nur wenige Minuten und ist verhältnismäßig günstig.Webseiten, die lediglich eine Verschlüsselung benötigen, Rankingvorteile nutzen wollen und/oder auf denen kaum persönlichen Daten eingegeben werden können.
Organisation
Validation (OV)
Bei einer Organisationsvalidierung muss sich der Domaininhaber selbst gegenüber einer Ausgabestelle verifizieren lassen. Das kann beispielsweise über die Einsendung eines Gewerbescheins oder Handelsregisterauszugs erfolgen und dauert damit natürlich ein paar Tage länger. Die Zertifizierungsstelle bestätigt nach erfolgreicher Überprüfung zum Teil mehrerer externer Quellen nicht nur, dass die Organisation Besitzerin der Webseite ist, sondern auch, dass diese tatsächlich existiert. Der Domaininhaber wird beim Anklicken der Zertifikatsinformationen im Browser angezeigt. Eine Ausstellung ist nur für Unternehmen möglich, die im Handelsregister eingetragen sind. Für Privatpersonen oder Einzelunternehmer ist dieser Typ nicht verfügbar.Webseiten, die nicht nur eine sichere Verbindung wünschen, sondern im E-Commerce tätig sind und deshalb Vertrauen zum Kunden aufbauen wollen.
Extended Validation (EV)Die erweiterte Validierung stellt die höchsten Anforderungen an den Domaininhaber und umfasst eine gründliche Überprüfung der Organisation, bevor das Zertifikat erteilt wird. Der Ausstellungsprozess von EV-Zertifikaten ist in den Richtlinien genau festgelegt, die 2007 formell durch das CA/Browser Forum ratifiziert wurden. Dazu gehört unter anderem die Prüfung, ob die Organisation betrieblich, gesetzlich und materiell überhaupt existiert. Dafür wird beispielsweise untersucht, ob die Identität der Organisation mit den amtlichen Einträgen übereinstimmt. Eine solche Überprüfung kann bis zu zwei Wochen dauern, stellt aber auch die höchste Stufe der Vertrauenswürdigkeit dar. Als zusätzlicher visueller Vertrauensindikator wird deshalb die Adresszeile des Browsers grün eingefärbt. Auch dieser Typ steht Privatpersonen und Einzelunternehmern nicht zur Verfügung. Außerdem darf nicht jede Zertifizierungsstelle EV-Prüfungen durchführen.Webseiten, die ein Maximum an Seriosität ausstrahlen und den Kunden die besten Möglichkeiten zur Vertrauensbildung bieten wollen. Insbesondere Unternehmen, die von Kunden besonders sensible Daten erhalten, wie im E-Banking und E-Government.

Diese drei Typen lassen sich um eine Wildcard- oder eine Multidomain-Option erweitern. Wildcard-Zertifikate gelten auch für alle Subdomains, während bei Zertifikation ohne diese Option jede Subdomain einzeln zertifiziert werden muss. Ein Wildcard-Zertifikat gilt also beispielsweise auch für blog.domain.de oder faq.domain.de. Nicht gültig ist dieses Zertifikat jedoch für Subdomains weiterer Stufen (z. B. www.blog.domain.de). Multidomain-Zertifikate gelten gleich für mehrere verschiedene Domains eines Inhabers, zum Beispiel www.domain.de, www.domain.com und www.eineanderedomain.org. Für wie viele, ist vom jeweiligen Anbieter abhängig. Während Wildcard-Zertifikate nur für Domain und Organisation Validation verfügbar sind, setzt das Multidomain-Zertifikat Organisation Validation voraus.

Wie installiere ich ein SSL-Zertifikat?

Sobald das Zertifikat der Zertifizierungsstelle vorliegt, kann es installiert werden. Wichtig ist dabei zu wissen, dass die Installation beim Hoster und nicht beim Domainbetreiber stattfindet, falls es hier Unterschiede geben sollte. Wie genau die Installation funktioniert, hängt vom Webhosting-Produkt und vom Betriebssystem des Servers ab. Die meisten Zertifizierer und Zertifikatebroker stellen für alle gängigen Plattformen Schritt-für-Schritt-Anleitungen zur Verfügung. Auch die Webhoster haben meist Anleitungen im FAQ-Bereich und helfen bei Bedarf auch individuell weiter. Die Installation ist kein Hexenwerk und kann mit Hilfe der Anleitung auch von Laien mit leichten Grundkenntnissen vorgenommen werden.

Nach der Installation sollte unbedingt geprüft werden, ob diese erfolgreich war. Dabei helfen Online-Tools wie der SSL-Check von SSLShopper, der nach Eingabe der Domain unter anderem die IP-Adresse der Domain, den Zertifizierer und die Restlaufzeit anzeigt.

Laufzeitende nicht vergessen!

SSL-Zertifikate werden nach Ende der vereinbarten Gültigkeit nicht automatisch verlängert. Stattdessen muss der Webmaster selbst aktiv werden und ein neues Zertifikat beantragen. Dabei sollte beachtet werden, dass der Zertifizierer je nach Typ einige Tage oder Wochen braucht. Um sicherzustellen, dass die Verbindung zur Webseite vorrübergehend nicht ungesichert ist, sollten Sie die Neuzertifizierung rechtzeitig beantragen. Das geht in der Regel schon ab 90 Tage vor Ablauf der Gültigkeit.

Was ist bei der Migration von HTTP zu HTTPS aus SEO-Sicht zu beachten?

Während die Installation in den meisten Fällen eine unkomplizierte und schnelle Angelegenheit ist, müssen Sie als Seitenbetreiber einige Dinge beachten, damit die SEO-Vorteile nicht von Migrationsfehlern zunichtegemacht werden. Dabei geht es vor allem darum, Duplicated Content zu vermeiden, der entsteht, wenn sowohl die HTTP- als auch die HTTPS-Version aufrufbar sind. Doppelter Content wird von Google nicht gern gesehen und kann die Position in den Suchergebnissen verschlechtern. Deshalb sollten unmittelbar nach der Installation folgende Schritte unternommen werden:

1. Umleitung einrichten
Leiten Sie die HTTP-URLs mittels des HTTP-Statuscodes 301 permanent auf die HTTPS-Variante um. Dafür können Sie beispielsweise folgenden Code in die .htaccess-Datei schreiben:

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Weitere Informationen zu der Weiterleitung durch HTTP-Statuscode erhalten Sie in diesem Artikel.

Besser als eine serverseitige Umleitung ist immer eine direkte Änderung der URL, weil eine Weiterleitung immer auch die Ladezeit verlangsamt. Wer nur eine kleine Webseite besitzt, sollte dies deshalb händisch oder mit einem Tool machen. Auf die Umleitung jedoch sollte allein schon wegen der externen Links nicht verzichtet werden.

2. Bestehende Weiterleitungen und Canonicals anpassen
Haben Sie bereits vor der Umstellung auf HTTPS mit serverseitigen Weiterleitungen gearbeitet, müssen diese ebenfalls auf die neue URL-Struktur angepasst werden. Das gilt auch für Canonical-Tags.

3. Interne Links ersetzen
Interne Links lassen sich relativ leicht ändern, indem Sie die Funktion “Suchen und Ersetzen” verwenden. Das funktioniert in den Datenbanktabellen und mit Hilfe eines Programms wie Notepad++ auch in den lokalen Dateien. Suchen Sie dafür nach “http://” und lassen Sie dies durch “https://” ersetzen. Wichtig jedoch ist, dass Sie nur interne und keine externe Links ersetzen, da diese sonst nicht mehr funktionieren. Vorher macht es in jedem Fall Sinn ein Backup der Datenbanken und Dateien anzulegen.

4. txt überprüfen
Stellen Sie sicher, dass der HTTPS-Zugriff aufgrund von früheren Einstellungen für Suchmaschinen nicht verboten ist. Denn dann können diese Ihre Webseite nicht mehr korrekt crawlen. Der Eintrag “Disallow: /” darf in der neuen Variante der robots.txt nicht gesetzt sein.

5. Neue Sitemap anlegen und Google informieren
Erstellen Sie eine neue Sitemap mit den HTTPS-URLs und hinterlegen Sie diese in der Google Search Console. Wer für WordPress ein Sitemap-Plugin nutzt, der kann dieses deaktivieren und wieder aktivieren, dann sollten die URLs automatisch aktualisiert sein.

6. Crawling und Plugins testen
Nachdem all diese Änderungen vollzogen wurden, sollten Sie testen, ob Suchmaschinen wie Google Ihre Seite noch korrekt crawlen können und ob alle Plugings/Erweiterungen weiterhin problemlos laufen. Das Crawling kann auch in der Search Console überprüft werden.

7. Externe Links ändern (lassen)
Der letzte Punkt ist der schwierigste, den auf externe Link hat man nur bedingt Einfluss. Dank der Umleitung gehen zwar weder Linkjuice noch Traffic verloren, dennoch empfehlen die meisten Experten so viele Domains auf die neue URL zu ändern, wie möglich. Bei Social-Media-Profilen zum Beispiel können Sie das selbst tun. Auf Seiten von Dritten können Sie den Webmaster freundlich darum bitten.

Fazit: HTTPS macht Sinn und ist halb so schwer

Wer von HTTP auf HTTPS umstellt, der macht seine Webseite fit für die Zukunft und kann außerdem von einem besseren Ranking in den Suchergebnissen profitieren. War der Rankingvorteil 2014 noch relativ klein, hat er im Laufe der Zeit an Bedeutung gewonnen. Über kurz oder lang will Google erreichen, dass alle Webseiten mit einer sicheren Verschlüsselung arbeiten.

Wer bei der Migration die obigen Punkte beachtet, der muss keine negativen Rankingveränderungen fürchten. Dennoch können kleine, temporäre Schwankungen ganz normal sein. In der Regel hat Google die Umstellung bereits nach ein bis zwei Wochen vollzogen, so dass in den Suchergebnissen nur noch die HTTPS-URLs angezeigt werden.