HTTP auf HTTPS: Schritt für Schritt erklärt

Da in der heutigen Zeit immer mehr Bereiche von Unternehmen bzw. Privatpersonen digitalisiert werden, ist das Thema Datenklau aktuell wie nie.Um Website (und somit Daten) zu schützen gibt es eine relativ simple und effektive Methode: das SSL Zertifikat. Diese Abkürzung steht für „Secure Socket Layers“ und ist eine Verschlüsselung des Datenverkehrs im Netz. Man kann damit beispielsweise den Austausch von Daten zwischen Browser und Webserver sicherer gestalten, was vor allem im E-Commerce von höchster Bedeutung ist. Eine Seite, die nicht durch SSL verschlüsselt ist, wird links neben der URL mit „HTTP“ gekennzeichnet, während eine verschlüsselte Seite ein „HTTPS“ in der URL beinhaltet.

http auf https

Warum man von HTTP auf HTTPS umsteigen sollte

Der Hauptfokus liegt sicherlich in der Sicherheit. Um Kundendaten wie Kreditkartennummern, Bankverbindungen oder auch Adressen und Telefonnummern vor unautorisiertem Zugriff zu schützen, sollte ein bemühter Webmaster nicht die Kosten für eine SSL Verschlüsselung sparen.

Exkurs: SSL/TSL

Doch selbst das SSL Zertifikat hat seine Schwachstellen: Nachdem Experten einige Lücken in der Sicherheitsstruktur erkannt hatten, entwickelten sie zügig eine neue Version des Zertifikats: das sog. TLS-Zertifikat. Dieses behebt die Mängel seines Vorgängers und sollte stattdessen benutzt werden und auch wenn oft von SSL die Rede ist, wird eigentlich das neuere TSL gemeint.

Verbessern der SEO durch HTTPS

Im Jahre 2014 hat Google bekannt gegeben, dass die Umstellung von HTTP auf HTTPS eine positive Wirkung auf die Suchmaschinenplatzierung hat. Auch wenn das Ausmaß dieses Faktors unbekannt ist, ist es definitiv in Google’s Interesse, das Internet sicherer zu gestalten. Auch statistisch wurde nachgewiesen, dass URLs mit SSL Verschlüsselung allgemein höhere Rankings besitzen als unverschlüsselte URLs. Google hat bereits Maßnahmen ergriffen und HTTP-Seiten mit einem roten „X“ versehen, während HTTPS-URLs in einem sicheren Grün gefärbt sind. Eine Seite, die nicht durch SSL verschlüsselt ist, wird links neben der URL mit „HTTP“ gekennzeichnet, während eine verschlüsselte Seite ein „HTTPS“ in der Suchzeile beinhaltet. Dies sorgt auch dafür, dass Nutzer eher auf sichere Seiten klicken anstatt auf unsicheren URLs zu wandeln (auch wenn sie auf Platz 1 rankt). Nutzer werden immer versierter im Bereich der Online-Sicherheit  und da in Zukunft nahezu alles über das Internet laufen wird, wird es in Zukunft keinen Platz mehr für unverschlüsselte Seiten geben.

Wie man seine Website verschlüsselt

Nachdem die Frage nach der Notwendigkeit eines SSL geklärt wurde, sollten wir uns der Umsetzung wenden. In einigen Schritten möchten wir euch erklären, was dabei zu beachten ist. Zuallererst muss man ein SSL Zertifikat bei einer offiziellen Vergabestelle (auch CA genannt) anmelden. Diese verifiziert die eigene Seite und bürgt auch für die Richtigkeit dieser Angabe. Nachdem das Zertifikat beantragt und ausgestellt worden ist, muss man das Zertifikat implementieren: Damit die Umstellung von HTTP auf HTTPS reibungslos verläuft, ist es wichtig, diese Schritte zu befolgen.

Daten sichern!

Zuallererst sollte ein gesamtes Backup von allen Datenbanken und Webspace Daten gemacht werden, damit man im Falle eines Problems nicht alle alten Daten verliert.

301 Weiterleitungen

Damit ihr keinen Sichtbarkeitsverlust erleidet, müsst ihr die HTTP-URLs mit einer 301 Weiterleitung auf die HTTPS-URLs verlinken. Lediglich den Canonical-Tag oder „robots.txt“ zu benutzen reicht hier nicht aus. Ohne eine eindeutige Weiterleitung von HTTP auf HTTPS durch eine 301 Weiterleitung wird man definitiv an Sichtbarkeit verlieren. Auch ist eine 302 Weiterleitung (die nur auf temporärer Basis zu nutzen ist) nicht ausreichend, da die Weiterleitung dauerhaft erhalten bleiben soll.

Ressourcen müssen auch umgestellt werden

Nachdem die URLs vollständig auf HTTPS verlinkt wurden, müssen auch die Inhalte (z.B. JavaScript- und CSS-Dateien, Bilder, PDFs, etc.) umgestellt werden. Passiert dies nicht, kann es zu einem Mixed Content Problem, was die Indexierung der HTTPS-URL verzögert oder auch verhindern kann.

Canonical-Tags

Sollten auf der http-URL Canonicals vorhanden sein, müssen diese auch auf die HTTPS-Variante übernommen werden. Vor allem beim Duplicate Content ist dies relevant, da nur so eine Dopplung (und somit Sichtbarkeitsverlust) verhindert werden kann.

Hreflang-Attribute

Besonders vorsichtig muss man bei vorhandenen Hreflang-Attributen vorgehen. Sind verschiedene Sprachversionen auf einer Subdomain (anstatt auf der eigenen Domain), so muss man sog. “Wildcard Zertifikate“ kaufen, um mehrere Subdomains auf einem Server abspeichern zu können.

Interne Verlinkungen

Während der Umstellung müssen auch interne Links angepasst werden. Man unterscheidet hier jedoch 2 Arten von internen Links: relativ und absolut. Bei relativen Links (die ohne „http://www.domain.com“) ist keine Umstellung erforderlich. Absolute Links hingegen müssen ggf. manuell angepasst werden (was auch vom System abhängt, wie z.B. WordPress, etc.)

Robots.txt

Da bei der Umstellung auch der robots.txt unter neuer URL zu finden ist, muss man diesen anpassen. Dieser darf nämlich nicht mehr unter der http erreichbar sein, da sonst URLs oder sogar mehr vom Crawling ausgeschlossen werden könnten.

Google Search Console & Analytics

Für die weitere SSL Implementierung muss man in der Search Console eine neue Property für die HTTPS-URL anlegen. Dies ist notwendig, da Google zwischen einer HTTP-URL und HTTPS-URL unterscheidet (auch wenn der Name der Website gleich ist). Nachdem man im Hauptmenü auf den Button „Property hinzufügen“ klickt, kann man in das Eingabefeld die Property (also URL) mit HTTPS-Kennzeichen festlegen.Diese neue Porperty muss dann einzeln mit Google Analytics verknüpft werden, falls Daten aus der Search Console mit denen aus Analytics ins Verhältnis gesetzt werden sollen.Property in Google Search Console HTTP zu HTTPS

htaccess Datei

Hierdurch kann man die Weiterleitung von externen Links kontrollieren. Man weist die Links auf die neue HTTPS-URL hin. Dazu muss folgender Code verändert werden:

<ifModule mod_rewrite.c>

Wird zu

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Im Landingpage-Modul nach HTTPS-URLs suchen

Im Landingpage-Modul aus unserer Toolbox kann der Nutzer gezielt seine Website überwachen, um sie ggf. hinsichtlich bestimmter Keywords zu optimieren. Dies beinhaltet strukturelle sowie inhaltliche Verbesserungen, die dazu dienen, einer Website im Google-Ranking eine stärkere Position zu geben.

Im Modul werden alle angelegten URLs unter dem Menüpunkt „Optimierungen Übersicht“ angezeigt. Man sieht zu welchen Keywords man rankt und wie u.a. der Wettbewerb zu diesem Keyword aussieht. Nun wird das HTTPS wichtig: Damit das Landingpage-Modul nicht nur HTTP-URLs, sondern auch HTTPS-URLs anzeigt, muss man in den Analyseeinstellungen genau einen Buchstaben einsetzen. Unter dem Menüpunkt „Eigene Vergleichs-Url“ setzt man nach dem „HTTP“ einfach ein „S“ ein und kann ab nun die angegebene URL als HTTPS (also als sicher) anzeigen lassen.

Landingpage-Modul PageRangers HTTP zu HTTPS