Was ist HTTPS?
“HTTPS" (Hypertext Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit der Daten Ihrer Nutzer zwischen dem Computer des Nutzers und der Website schützt.” - so definiert Google in der Search Console Hilfe den Begriff für “sichereres Internet”.
Werden Datenpakete über HTTPS verschickt, werden diese durch das Transport Layer Security-Protokoll, kurz TLS, geschützt. Es befindet sich in Layer 4, der Transportschicht. TLS verfügt über drei Sicherheitsebenen:
-
Verschlüsselung: gegen das Abfangen und Stehlen von Daten.
-
Datenintegrität: Keine Veränderung der Daten möglich.
-
Authentifizierung: schützt vor Man-in-the-Middle-Angriffen
Woran erkenne ich, dass eine Seite HTTPS nutzt?
Sie erkennen das an der Adresszeile: Je nach Browser wird unterschiedlich symbolisiert, dass diese Seite “sicher” ist: Bei Chrome ist es ein grünes Schloss mit darauf folgender URL, die mit einem grünen
“https://”
beginnt. Bei Firefox ist das Schloss ebenso grün. Die Browser weisen Sie auch darauf hin, wenn das Sicherheitszertifikat abgelaufen oder nicht vorhanden ist.
Warum sollte ich als Webseiten-Betreiber auf HTTPS umsteigen?
HTTPS schützt personenbezogene Daten (Name, Adresse, Email, Bankdaten etc.) bei der Interaktion mit Ihrer Webseite. Vor allem zu schützen sind Anmeldedaten und Passwörter. Die Verschlüsselung hat sich inzwischen etabliert - der Nutzer erwartet, dass seine Daten geschützt sind. Durch HTTPS können Sie das Vertrauen Ihrer Nutzer in Ihr Unternehmen stärken, was ein sehr wichtiger Faktor im Customer Relationship Management ist.
Welche Umstiegsmöglichkeiten gibt es?
Google empfiehlt in der Search Console Hilfe, mit allen Unterseiten umzusteigen. Es ist aber auch möglich, nur einzelne Seiten mit HTTPS zu versehen. Diese Frage beantwortet auch John Mueller (Google) so: Es sei demnach kein Problem, mit einzelnen Seiten umzusteigen und später weitere hinzuzufügen. Auch sei es in Ordnung, Seiten in mehreren “Schwüngen” auf HTTPS umzustellen.
Arocom empfiehlt jedoch, alle Seiten direkt in einem “Schwung” umzuziehen.
Was sind die Voraussetzungen für den Umstieg?
Um Ihrer Seite ein HTTPS geben zu können, brauchen Sie ein Zertifikat, wobei hier für Google unerheblich ist, woher es stammt. Es darf nicht abgelaufen sein und muss von den gängigen Browsern akzeptiert werden.
Wenn Sie nach “TLS Verschlüsselung” suchen, werden Sie einige kostenpflichtige Angebote finden. Der Anbieter Let’s Encrypt bietet seit Dezember 2015 aber auch kostenlose Zertifikate in der Beta-Phase an. (Kurze Information: Der Standard TLS hat sich aus dem SSL-Standard entwickelt)
Außerdem benötigen Sie eine eigene IP-Adresse (es sei denn, Sie nutzen ein Let's Encrypt-Zertifikat). Diese erhalten Sie von Ihrem Provider auf Anfrage. Das Zertifikat müssen Sie dann noch auf Ihrem Server installieren, dann sind alle Voraussetzungen erfüllt.
So steigen Sie mit Ihrer Webseite auf HTTPS um
Redirects erstellen
Zuerst werden Redirects hinzugefügt, denn die Webseite soll nur noch über HTTPS aufrufbar sein. Also müssen alle bisherigen Links, die an HTTP gingen, auf HTTPS umgeleitet werden. Dies erreicht man über einen 301-Redirect (Permanent redirect) in der .htaccess-Datei des Servers (sofern man einen Apache Server verwendet). Ohne Apache Server führen Sie die Änderungen in Ihrer Hostkonfiguration durch.
Aus SEO-Sicht sind die Redirects unerlässlich: Sie leiten den Besuch an das richtige Ziel und übergeben auch den Linkjuice verlustfrei an das neue Ziel.
Mit Hilfe der Redirects erreichen wir, dass zum einen interne absolute Links (z. B.
http://www.beispiel.de/spezielle-seite/...
) und relative Links, z. B.
/spezielle-seite/seite-3/
, wie auch Backlinks von außen, die auf HTTP zielen, auf die neue Seite weitergeleitet werden. Generell empfehlen wir allerdings, dass interne Links immer relativ erstellt werden, damit in diesem Fall kein Handlungsbedarf besteht.
Markup anpassen
Jede Seite erhält ein “Canonical-Tag”
<link rel=”canonical” href’=”https://beispiel.de/spezielle-seite/...”>
, um zu zeigen, welche Seite die zu indexierende Seite ist. Die neuen HTTPS-Seiten erhalten auch ein Canonical-Tag auf sich selbst. Muss das sein? Laut Mueller ist es sinnvoll, da es ein deutliches Zeichen für Suchmaschinen für die Relevanz der Seite ist, dennoch ist es kein Garant dafür, dass eine Seite indexiert wird.
Aufräumen
Nachdem sich all Ihre URLs geändert haben, müssen Sie noch eine neue XML-Sitemap erstellen. CMS wie Drupal bieten hierfür einfache Vorgehensweisen. Interne Links und externe Links sollten Sie, wenn auch ein 301-Redirect angegeben ist, mit der Zeit manuell anpassen. Somit zeigen Sie Ordnung in Ihrem System.
Search Console einrichten
In der Search Console, ehemals Google Webmaster Tools, geben Sie nun an, dass Sie sowohl die HTTP- wie auch die HTTPS-Seite besitzen und legen für beide Versionen eine eigene Property an. Google wird die neue Seite crawlen und dann die permanent weitergeleiteten Seiten aus seinem Index nehmen. Im Bereich “Google Index” - “Indexierungsstatus” können Sie für beide Properties beobachten, wie die Anzahl der indexierten Seiten in der HTTP-Version sinkt und in der HTTPS-Version steigt. Sie können zudem feststellen, ob es bei der Migration Fehler gibt.
Es ist nicht vorhersagbar, wie schnell der Googlebot die neuen URLs crawlt und verarbeitet, ist aber mitunter abhängig von der Geschwindigkeit Ihres Servers und der Anzahl der URLs. Erfahrungsgemäß kommt eine mittelgroße Website auf einige Wochen, bis die meisten Seiten verschoben sind; bei größeren Websites kann es länger dauern.
Traffic überwachen
Search Console überwachen
-
Crawling-Fehler: Überprüfen Sie regelmäßig, ob es zu Crawling-Fehlern kam und beheben Sie das Problem.
-
Suchanfragen: Prüfen Sie, ob die Suchanfragen sich erwartungsgemäß verändern.
Traffic mit weiteren Tools überwachen
Überwachen Sie mit Hilfe von Tools wie Google Analytics, SISTRIX, OnPage.org etc., ob Ihre neue Webseite richtig funktioniert und es zu Traffic kommt. Prüfen Sie die Logfiles des Servers und leiten Sie ggf. Verbesserungsvorschläge ab.
HTTPS-Umstieg und SEO
Es kann vorkommen, dass es zu Sichtbarkeitsverlusten kommt, wenn man mit der Webseite auf HTTPS umsteigt. Diese sind aber in der Regel von kurzer Dauer und mit den o. g. Vorbereitungen auch größtenteils zu vermeiden. Vor allem durch die Verwendung von 301-Redirects sorgen Sie dafür, dass der Linkjuice direkt an das richtige Ziel weitergeleitet wird. Sie umgehen damit auch direkt das Problem des Duplicate Contents, da nur eine Version der Inhalte indexierbar ist.
Best Practices für die Verwendung von HTTPS
-
Verwenden Sie starke Sicherheitszertifikate mit einem 2.048-Bit-Schlüssel.
-
Leiten Sie Nutzer und Suchmaschinen über serverseitige 301-Redirects auf die HTTPS-Seite weiter.
-
Verwenden Sie relative URLs für alle internen Links.
-
Verwenden Sie einen Server, der HTTP Strict Transport Security (HSTS) unterstützt und aktiviert hat. HSTS sorgt dafür, dass der Brwoser direkt die HTTPS-Seite aufruft, auch wenn der Nutzer nur HTTP eingegeben hat. Außerdem gewährleistet diese Option, dass Google, die neuen “sicheren” URLs in den Suchergebnissen anzeigt.
-
Sorgen Sie dafür, dass Ihre neuen HTTPS-Seiten von Google gecrawlt und indexiert werden können, wenn Sie das denn wollen: robots.txt sollte keine Seiten ausschließen und Seiten sollten im Head nicht auf “noindex” stehen. Über die Search Console und andere Analyse-Tools können Sie herausfinden, ob Seiten crawlbar und indexierbar sind oder nicht.
Die in diesem Artikel genutzten Bilder stammen teilweise von anderen Quellen. Sie finden die Quellenangaben im Impressum.
