Facebook Pixel

Umstellung der Website auf HTTPS

Der Internetriese Google hat bereits angekündigt, dass Webseiten als unsicher eingestuft werden, wenn von den Betreibern kein hinreichend sicherndes Protokoll genutzt wird. Immer mehr Verantwortliche haben ihre Homepage bereits auf HTTPS/SSL umgestellt oder planen die Änderung in naher Zukunft. Denn neben der Einstufung als unsichere Website soll in Zukunft auch das Ranking darunter leiden, wenn die Verwendung eines sicheren Protokolls ausbleibt. Eine Vielzahl von Onlineangeboten ist daher darauf angewiesen, auf HTTPS umzustellen, um einem drohenden Rankingverlust vorzubeugen. Es handelt sich hierbei auch nicht um eine weit entfernte Zukunftsvision. Die Umwandlung sollte zeitnah erfolgen, da eine weitere Aufschiebung nachteilige Konsequenzen mit sich bringen kann. Bei der Anpassung gibt es allerdings einige Besonderheiten, die Du unbedingt beachten solltest.

Was genau bedeutet eigentlich HTTPS?



HTTPS („HyperText Transfer Protocol Secure“) steht für eine verschlüsselte Datenübertragung, die zwischen dem Webserver und dem genutzten Browser genutzt wird. Bei einer Homepage, die über HTTP erreicht wird, mithin also das S für "Secure" fehlt, besteht für Personen desselben Netzwerkes die Möglichkeit, die übertragenen Daten mitzulesen. Was im vertrauensvollen Heimnetzwerk noch unproblematisch sein kann, entpuppt sich als Datenfalle an öffentlichen Plätzen. Immer mehr Einrichtungen gewährleisten ihren Nutzern einen freien WLAN-Zugang zu ihrem Netzwerk. Dabei werden nicht selten hochsensible Daten innerhalb des Netzwerkes verarbeitet. Es sind vor allem Internetbetrüger sowie Hacker, die die veraltete Technik für ihre eigenen Zwecke missbrauchen möchten. Sie versuchen die übertragenen Daten als Klartext abzufangen, um die notwendigen Informationen über den User zu erhalten. Genau aus diesem Grund ist der Einsatz von verschlüsselten Verbindungen unerlässlich. Der Konzern Google belohnt die fleißige Arbeit der Umstellung mit einem positiven Einfluss auf das Ranking der eigenen Homepage. Der Unterschied zwischen HTTPS und HTTP besteht folglich darin, dass bei Letzterem das Verschlüsselungsprotokoll SSL/TLS fehlt. Die Bezeichnung SSL steht für "Secure Sockets Layer" und ist genau genommen heute schon wieder veraltet. Abgelöst wurde das Protokoll von TLS ("Transport Layer Security"). Ziel ist es, die Cyberkriminalität, beispielsweise durch Pishing, wirksam zu bekämpfen, indem die Identität einer Homepage geprüft wird.

Wie erkenne ich die sichere Internetverbindung per HTTPS?



Wird eine Website via HTTPS geschützt, kannst Du diesen Zusatz in der Regel bereits in der Adresszeile ablesen. Darüber hinaus wird die Verschlüsselung durch ein grünes Schloss signalisiert, das sich links daneben befindet. Solltest Du nunmehr auf einer Internetseite landen, bei der noch keine Verschlüsselung eingesetzt wird, sollte Dich der Browser darauf aufmerksam machen. Diese Seiten werden zunehmend als unsicher gelistet und markiert. Darüber hinaus werden Warnhinweise ausgesprochen. Die genaue URL kann regelmäßig auch bei Suchanfragen bereits eingesehen werden. Bei einer Suchmaschinenanfrage werden die Ergebnisse mit der vollständigen Adresse einer Homepage angezeigt. Weiterhin gibt es auch vermehrt Browser-Plugins von Antivirensoftware, die zusätzlich durch den Einsatz von optischen Hinweisen auf die Sicherheit aufmerksam machen.

Ist die Umstellung auf HTTPS für alle Seitenbetreiber verpflichtend?



Sicherlich spricht es für den Betreiber einer Homepage, wenn neben seiner Adresszeile das grüne Schloss signalisiert, dass er seinem Nutzer die bestmögliche Sicherheit nach dem Stand der Technik bieten möchte. Das Bundesministerium für Verbraucherschutz hat im Januar 2016 bereits eine Empfehlung ausgesprochen, dass Webseitenbetreiber eine sichere Verbindung auf Grundlage von HTTPS einrichten sollen. Betroffen sind vor allem solche Seiten, bei denen über ein Kontaktformular personenbezogene Daten an den Anbieter übermittelt werden können. Online-Shops, Online-Banking oder andere Internetseiten, die den direkten Kontakt über ein Kontaktformular ermöglichen, sind hier insbesondere angesprochen. Dasselbe gilt aber auch für den Anbieter eines Newsletters, da dieser über die Eingabe der persönlichen E-Mail-Adresse abonniert wird. Die Umstellung auf HTTPS ist zwar keine Pflicht. Sie kann allerdings vor Konsequenzen bewahren, und ist vor allem für diejenigen Betreiber, die personenbezogene Daten ermitteln, dringend zu empfehlen.

Wer haftet bei abgefangenen Daten aus einem Kontaktformular?



Wenn es sich um keine gesetzliche Pflicht handelt, eine HTTPS Verschlüsselung zu nutzen, stellt sich die Frage der Haftbarkeit, wenn personenbezogene Daten eines Nutzers von einem Dritten unberechtigterweise abgefangen werden. Das Gesetz sieht in § 13 Abs. 7 TMG (Telemediengesetz) ausdrücklich vor, dass der Betreiber einer Homepage sicherstellen muss, dass die Übertragung von personenbezogenen Daten verschlüsselt wird. Muss der Homepagebesucher seine persönlichen Daten an den Webserver senden, um das Angebot überhaupt nutzen zu können, sollte der Betreiber eine HTTPS Verschlüsselung nutzen. Es werden bereits einige kostenfreie Zertifikate angeboten. Der Vorteil einer Umstellung liegt demnach nicht nur darin, dass das Ranking bei Google positiv ausfällt. Nach § 16 Abs. 2 Nr. 3 TMG handelt es sich bei einem Verstoß gegen § 13 Abs. 7 TMG um eine Ordnungswidrigkeit. Die Landesämter für Datenschutz haben bereits entsprechende Warnungen an die Betreiber verschickt. Grundsätzlich wird ein Verstoß mit einer Geldbuße von bis zu 50.000 € geahndet. Wird das Kontaktformular eines Betreibers tausendfach genutzt, kann die Geldbuße eine Summe erreichen, die nicht nur die Existenz der Homepage zerstört.

Wie können Betreiber einer Homepage das Zertifikat erhalten?



Um sich gegen derartige finanzielle Belastungen zu schützen, ist ein SSL/TSL Zertifikat unerlässlich. Eine Vielzahl von Anbietern offeriert diese Möglichkeit bereits. Der einfachste Weg besteht darin, das Zertifikat über den eigenen Hostinganbieter zu beziehen. Es gibt allerdings auch Zwischenhändler sowie Zertifizierungsstellen, bei denen ein Siegel erworben werden kann. Der Erwerb setzt allerdings voraus, dass die Identität des Erwerbers zunächst umfassend geprüft wird. In der Praxis haben sich drei unterschiedliche Validierungsverfahren durchgesetzt. Bei kleinen Internetseiten, bei denen Blogger tätig werden oder der Nutzer über ein Kontaktformular mit den Verantwortlichen in Kontakt treten kann, bieten sich domain-validierte Zertifikate an. Nachdem der Antrag gestellt worden ist, wird kurzerhand geprüft, ob die Nutzungsrechte tatsächlich beim Antragsteller liegen. Um den Überprüfungsvorgang zu schützen, wird dem Nutzungsrechte Inhaber eine E-Mail zugestellt, damit dieser seine Identität bestätigen kann. Derartige Angebote kosten etwa 20 € jährlich. Werden über eine Homepage allerdings Transaktionen durchgeführt, sollte ein anderes Validierungsverfahren bevorzugt werden. Für diese Betreiber bietet sich das inhaber-validierte Zertifikat an. Damit die sensiblen Daten der Nutzer geschützt werden, ist es ein umfangreicheres Verfahren, um die Sicherheit zu gewährleisten. Geprüft werden bei dieser Methode sowohl der Eintrag im Handelsregister als auch die notwendigen Unternehmensinformationen. Dieser hohe Grad an Sicherheit hat allerdings auch seinen jährlichen Preis, der ungefähr bei 180 € liegt. Die sicherste Authentifizierungsstufe ist das extended-validierte Zertifikat. Sollten über die Internetseite besonders sensible Daten erhoben werden, insbesondere Kreditkarteninformationen, sollte dieses Zertifikat beantragt werden. Es gibt allerdings nur wenige spezielle Vergabestellen. Insbesondere die Informationen über das Unternehmen werden sehr umfassend geprüft. Als höchste Authentifizierungsstufe hat es auch den höchsten Preis. Die verantwortlichen Internetbetreiber müssen etwa 720 € jährlich an Kosten für diese Dienstleistung einplanen. 

Die kostenfreie Möglichkeit des Validierungsprozesses:



Neben den kostenpflichtigen Angeboten gibt es auch einige Möglichkeiten, um das HTTPS-Zertifikat ohne Ausgaben zu erhalten. Bei der Wahl sollte vorab ein Anbieter gewählt werden, der bei allen Browsern als sogenannte vertrauenswürdige Zertifizierungsstelle gelistet wird. Der erste Ansprechpartner sollte daher immer der eigene Webhosting-Anbieter sein. Solltest Du daher planen, in Zukunft eine eigene Homepage zu betreiben, auf der ein Kontaktformular genutzt werden kann oder sensible Daten anderweitig gesammelt werden, ist es ratsam, schon bei der Auswahl Deines Webhosting-Anbieters darauf zu achten. Bei bereits bestehenden Angeboten kann ein Wechsel unter Umständen die beste Alternative sein. Ansonsten sollte darauf geachtet werden, dass anderweitig bezogene Zertifikate kostengünstig und einfach einbezogen werden können. Das ideale Zertifikat hängt unmittelbar mit zwei verschiedenartigen Funktionen zusammen, die mit den SSL-Zertifikaten einhergehen. Dies ist auf der einen Seite die Identitätsprüfung und auf der anderen Seite die Verschlüsselung. Keinesfalls kann bestätigt werden, dass ein kostenfreies Zertifikat besser oder schlechter verschlüsselt als die zu bezahlende Alternative. In aller Regel ist für den Betreiber einer normalen Internetseite die kostenfreie Variante eine vollkommen ausreichende Möglichkeit, um dem Nutzer die zu erwartende Sicherheit zu bieten.

Die großen Internetgiganten unserer Zeit, wie zum Beispiel Automattic, Facebook, Google oder Mozilla, unterstützen die Zertifizierungsstelle Let´s Encrypt, die ihr Angebot kostenfrei zur Verfügung stellt. Einige Webhosting-Anbieter, exemplarisch All-Inkl., haben ihr Angebot bereits dahingehend vereinfacht, dass die eigene Homepage durch wenige Klicks mit einem entsprechenden Zertifikat dieses Anbieters versehen werden kann. Eine solche Kooperation bildet selbstverständlich den Idealfall. Bei der überwiegenden Anzahl der Webhosting-Anbieter hat sich demgegenüber bewährt, dass wenigstens ein kostenfreies Zertifikat dem Hosting-Paket zugehört. Für den Nutzer ist hingegen nicht nur entscheidend, dass seine Daten verschlüsselt übertragen werden. Vielmehr möchte er auch darüber informiert werden, ob hinter der genutzten Homepage, über die er nunmehr seine Konto Informationen preisgeben soll, auch tatsächlich der ausgewiesene Betreiber steht. Das Problem ist, dass bei einfachen Validierungsverfahren keine genaue Identitätsprüfung vorgenommen wird. Es wird lediglich eine E-Mail bestätigt. Banken oder Webshops sollten daher einen umfassenden Validierungscheck über sich ergehen lassen. Bevor ein Zertifikat überhaupt ausgestellt werden kann, wird die Identität genau überprüft. Derartige Informationen können über das Informationssymbol direkt im Browser abgerufen werden. Oftmals wird auch der Name des Betroffenen Unternehmens neben der Adressleiste publiziert.

Die Umstellung von HTTP auf HTTPS:



Manuell kann ein Zertifikat nur dann eingebunden werden, wenn Du den vollen Zugriff auf den verwendeten Server hast. In der Regel haben die Betreiber allerdings ein Webhosting-Paket gebucht, sodass dieser Schritt vom Anbieter übernommen wird. Nachdem das HTTPS-Zertifikat installiert worden ist, solltest Du unbedingt einige Besonderheiten beachten, damit Fehler von vornherein vermieden werden.

a. Eine korrekte Weiterleitung auf der Homepage einrichten

Ein sogenannter 301-Redirect ermöglicht die saubere Umstellung auf HTTPS. Durch diesen Einsatz soll verhindert werden, dass sowohl die HTTP- als auch die HTTPS-Seite von Suchmaschinen wie Google als zwei eigenständige Internetseiten gewertet werden. In diese Umleitungsfunktion sollten nicht nur die Startseite der Homepage eingebunden werden. Vielmehr ist es empfehlenswert, dass alle Unterseiten in das Umleitungssystem integriert werden. Eine 301-Redirect-Umleitung kann über einen Eintrag erfolgen, der an der .htaccess-Datei vorgenommen wird. Voraussetzung ist dafür, dass ein Apache-Server genutzt wird. Mit dem folgenden Eintrag kann die Verschlüsselungstechnik HTTPS für alle Seiten eingerichtet werden:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Sollte demgegenüber kein Apache-Server zum Einsatz kommen, kann der 301-Redirect über PHP implementiert werden. Dazu ist folgende Eingabe notwendig: 

<?php
if (isset($_SERVER["HTTPS"])===FALSE || empty($_SERVER["HTTPS"])===TRUE) {
header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
exit();
}

b. Unsichere Inhalte sollten unbedingt vermieden werden:

Optisch zeigt sich die HTTPS Verschlüsselung in der Adresszeile des Browsers durch das grüne Schloss. Obwohl die Seite vollständig via HTTPS umgewandelt worden ist, erscheint plötzlich ein Warndreieck. Der Grund liegt oftmals darin, dass Mixed Content verwendet worden ist. Sämtliche Ressourcen, die auf der Homepage genutzt werden, insbesondere Bilder, Videos, JS, CSS oder Webfonds sollten unbedingt per HTTPS übertragen werden. Das gilt für externe sowie interne Ressourcen gleichermaßen. Es besteht daher kein Unterschied zwischen einem implementierten YouTube Video oder dem integrierten Google Maps Script. Die Übertragung kann einige Zeit in Anspruch nehmen, vor allem wenn die Homepage sehr komplex ist oder auf eine unsaubere Programmierung zurückgeführt werden kann. In diesem Fall sind die einzelnen Dateien sowie die Datenbank umfassend zu bearbeiten. 

c. Die Indexierung der Homepage erleichtern:

Während des Umstellungsprozesses kann sich herausstellen, dass die robots.txt-Datei das Crawling der einzelnen HTTPS-Internetseiten blockiert. Die Folge ist, dass die Seiten von der Suchmaschine Google nicht indexiert werden, obwohl sie auf HTTPS umgestellt worden sind. Das ist besonders bitter, weil das Google-Ranking entsprechend darunter leidet. In dem Robots-Meta-Tag sollte der Wert "noindex" unbedingt vermieden werden, damit die Seiten ordnungsgemäß und korrekt indexiert werden können.

d. Die richtige Einbindung der XML-Sitemap:

Nachdem die Homepage erfolgreich auf HTTPS umgestellt worden ist, darf sich der Betreiber leider noch nicht verdientermaßen zurücklehnen. Denn die URL muss nunmehr inklusive HTTPS durch den Einsatz von Google Webmastertools in die Search Console der Suchmaschine eingefügt werden. Es ist ratsam, dass die XML-Sitemap ebenfalls neuerlich eingereicht wird. Sollte der Betreiber eine Seite sowohl via HTTP als auch via HTTPS zur Verfügung stellen, wobei die Seiten den identischen Inhalt haben, bevorzugt Google nach eigenem bekunden die HTTPS-Variante. Es ist dennoch ratsam, sämtliche Seiten mithilfe der Google Search Console zu bearbeiten, insbesondere wenn nicht alle Internetseiten über das Verbindungssystem HTTPS verstellt werden.

e. Die Besonderheit des Rankings während der Umzugsphase:

Jede Internetseite lebt von ihrem Ranking bei Suchmaschinen. Je erfolgreicher eine Domain positioniert werden kann, desto erfolgreicher wird in der Regel auch der Besucherzulauf sein. Durch die Umstellung auf HTTPS wird an der Website allerdings eine sehr große Veränderung vorgenommen. Bevor diese nunmehr praktisch umgesetzt wird, solltest Du wissen, dass es beim Ranking durchaus zu Schwankungen kommen kann. Wie bei jedem größeren Umzug, beispielsweise auch bei einem Wohnungswechsel, bedarf es einer gewissen Eingewöhnungszeit. Kurzfristige Rankingverluste kommen sicherlich vor. Der Konzern Google hat allerdings mitgeteilt, dass sich derartige Verluste bei einer solchen Änderung nicht verhindern lassen. 

f. Keine abgelaufenen Zertifikate nutzen:

Bei dem Einsatz eines SSL-Zertifikat solltest Du stets darauf achten, dass dieses nicht abgelaufen oder ungültig geworden ist. Denn der Besucher Deiner Webseite würde darüber benachrichtigt werden, dass er eine unsichere Verbindung eingeht. Die Intention, die Du mit dem Zertifikat verfolgst, steht diesem Unsicherheitsfaktor eindeutig entgegen. Das von Dir erworbene Zertifikat verfehlt somit seinen ursprünglich gedachten Nutzen. Du solltest daher regelmäßig die Gültigkeitsdauer Deines Zertifikat prüfen und gegebenenfalls ein neues Zertifikat einbinden. Im Idealfall bietet der Webhosting-Anbieter die automatische Verlängerung bereits in seinem Paket mit an. Andernfalls solltest Du die Kontrolle regelmäßig manuell durchführen. 

Die Beeinflussung des Google-Rankings durch die Umstellung auf HTTPS:

Wie bereits zuvor erwähnt, kann durch die Umstellung auf HTTPS das Ranking Deiner Internetseite kurzfristig durcheinandergebracht werden. Dabei handelt es sich allerdings nur um eine zeitlich befristete Schwankung innerhalb der einzelnen Suchmaschinen. Langfristig gesehen Macht sich die Umwandlung hingegen bezahlt. Google bewertet solche Internetseiten bereits seit 2014 als positiv, die eine HTTPS-Verbindung nutzen. Sicherlich dürfen keine überragenden Veränderungen innerhalb des Rankingverhältnisses erwartet werden. Allerdings hat sich der Suchmaschinengigant bereits offengehalten, ob er die Umwandlung in Zukunft noch stärker gewichten möchte. Das Phänomen der Vergangenheit, dass HTTPS-Umleitungen mehr Ladezeit in Anspruch genommen haben, konnte mittlerweile behoben werden.

Die Checkliste für Deinen HTTPS-Umzug:

Falls Du den HTTPS-Umzug in Zukunft planst, soll Dir die nachfolgende Liste beim Abhaken der einzelnen Schritte behilflich sein. Folgende Arbeiten solltest Du unbedingt beachten:

- Sowohl für die Startseite als auch für die Unterseiten wird ein 301-Redirect eingerichtet.
- Die Canonical-Links werden entweder hinzugefügt oder angepasst.
- Es findet eine Aktualisierung der Google Search Console statt.
- Die XML-Sitemap wird ebenfalls aktualisiert.
- Google Analytics oder andere Webstatistik-Tools werden angepasst, ebenso wie interne und externe Verlinkungen.
- Videos, Bilder, JS und CSS werden noch einmal geprüft, um gegebenenfalls umgestellt zu werden.
- Es findet letztlich eine Anpassung der URLs in den einzelnen Werbeprogrammen statt.

Sollte der HTTPS-Umzug bei Dir nicht wie gewünscht funktionieren, kann Seobility möglicherweise Abhilfe schaffen. Damit kannst Du etwaige Unstimmigkeiten analysieren, um diese im Anschluss zu optimieren. Bei der Weiterleitung von HTTP auf HTTPS werden die einzelnen Verfahrensschritte genau unter die Lupe genommen, um Dich auf mögliche Fehler hinzuweisen.
Copyrighted.com Registered & Protected 
SIGX-NIFC-OMOK-I2X7
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.