Umstellung der Website auf HTTPS

Umstellung auf HTTPS – Was gibt es zu beachten?

Die Umstellung von Websites auf das sichere Protokoll HTTPS/SSL ist schon lange in aller Munde. Neben der Einstufung der SSL-Verschlüsselung als Rankingfaktor will Google künftig sogar Websites als unsicher ausweisen, wenn diese bei der Abfrage von Nutzerdaten, z. B. in Formularen, kein sicheres Protokoll verwenden. Dies macht die Umstellung auf HTTPS für die meisten Onlineangebote unabdingbar und sollte nicht weiter aufgeschoben werden, da sonst ein Rankingverlust drohen kann. Was du bei der Umstellung deiner Website beachten solltest, zeigen wir dir in diesem Beitrag.

Was versteht man unter HTTPS, SSL und TLS?

HTTPS (HyperText Transfer Protocol Secure oder sicheres Hypertext-Übertragungsprotokoll) ist ein Kommunikationsprotokoll, mit dem Daten abhörsicher übertragen werden. Wird dieses Protokoll nicht angewendet, so können Daten, die über das Internet übertragen werden, theoretisch von anderen als Klartext gelesen werden. Das Protokoll ist sehr ähnlich zu HTTP, mit der Ausnahme, dass die Daten mithilfe des Verschlüsselungsprotokolls SSL/TLS verschlüsselt werden. SSL (Secure Sockets Layer) ist dabei die weitläufig bekannte Bezeichnung, wobei dieser Standard mittlerweile veraltet ist und von TLS (Transport Layer Security) abgelöst wurde. Neben der Verschlüsselung der Daten wird durch HTTPS auch die Authentifizierung für die Verbindungspartner bereitgestellt, sodass die Identität einer Website überprüft und damit Cyper-Betrug wie etwa Phishing vorgebeugt werden kann.

Woher bekommt man ein SSL/TLS-Zertifikat?

SSL/TLS-Zertifikate sind über verschiedene Anbieter erhältlich. Am einfachsten ist es sicherlich, das Zertifikat direkt über den Hosting-Anbieter der eigenen Website bzw. des eigenen Webspace z.B. die Host Europe GmbH, zu beziehen. Alternativ können Zertifikate auch bei den Zertifizierungsstellen oder über Zwischenhändler erworben werden. Damit ein gültiges Zertifikat erstellt werden kann, muss zunächst die Identität des Erwerbers geprüft werden. Dabei gibt es drei Varianten von Validierungsverfahren, die, wie nachfolgend aufgeführt, unterschiedliche Standards erfüllen:

Zertifikate mit Domain-Validierung (DV):

Die domain-validierten Zertifikate sind für kleinere Webseiten, z. B. mit einem Kontaktformular oder für Blogger geeignet. Bei der Beantragung wird lediglich überprüft, ob der Antragsteller im Besitz der Nutzungsrechte für die Domain ist. Die Überprüfung erfolgt meist über eine E-Mail an den Domaininhaber. Domain-validierte Zertifikate gibt es ab etwa 20 EUR pro Jahr.

Zertifikate mit Inhaber-Validierung (OV):

Das inhaber-validierte Zertifikat eignet sich für Websites, auf denen Transaktionen mit sensiblen Daten stattfinden. Diese Art der Validierung ist umfangreicher und dadurch sicherer als die Domain-Validierung, denn es werden zusätzlich die Unternehmensinformationen sowie der Eintrag im Handelsregister überprüft. Durch den aufwändigen Überprüfungsprozess ist dieses Zertifikat teurer als das Zertifikat mit Domain-Validierung, bietet jedoch einen höheren Grad an Sicherheit. Die Angebote beginnen bei ca. 180,00 Euro pro Jahr.

Zertifikate mit Extended Validation (EV):

Das extended-validierte Zertifikat hat die höchste Authentifizierungsstufe und eignet sich daher für Webseiten, die Kreditkarteninformationen oder andere sensible Daten erheben. Dieses Zertifikat wird nur von speziellen autorisierten Vergabestellen ausgehändigt, die zudem die Unternehmensinformationen noch detaillierter überprüfen. Da es die höchste Sicherheitsstufe gewährleistet, ist es zugleich das teuerste Zertifikat, die Paketpreise beginnen hier bei ca. 720,00 Euro pro Jahr.

Wildcard SSL-Zertifikate

Außerdem gibt es sog. Wildcard SSL-Zertifikate, die es ermöglichen beliebig viele Subdomains mit nur einem Zertifikat zu schützen. Das bedeutet, wenn ein Unternehmen mehrere Subdomains wie „shop.domain.de“ oder „domain.de“ verwendet, können diese mit nur einem Zertifikat geschützt werden. Für diese Art der Zertifizierung entstehen meist jedoch zusätzliche Kosten zu den üblichen Zertifikatskosten.

Kostenlose Zertifikate – für technisch Versierte

Eine weitere Möglichkeit, die Website auf SSL/TLS umzustellen, sind kostenfreie Zertifikate.
Cloudflare bietet hierzu eine One-Click-SSL-Zertifizierung an, die es dem Nutzer ermöglicht, jede seiner Seiten mit einem Klick HTTPS-fähig zu machen. Der Vorteil liegt darin, dass SSL-Zertifikate nicht ablaufen können und der Websiteinhaber sich nicht regelmäßig über mögliche SSL-Schwachstellen informieren muss, um rechtzeitig Anpassungen zu tätigen. Eine genaue Anleitung zur Integration bietet Cloudflare auf seiner Website an: https://www.cloudflare.com/de/ssl/
Ein weiterer Anbieter ist letsencrypt, auch hier wird eine kostenlose Variante der SSL-Zertifizierung angeboten. Dazu notwendig ist das ACME- Protokoll (Automatische Zertifikats-Management-Umgebung), das in der Regel auf dem Web-Host läuft. Außerdem sollte ein Shell-Zugriff oder auch SSH-Zugang des Webhosters vorhanden sein. Eine Beschreibung zur Installation wird auf der Website angeboten: https://letsencrypt.org/getting-started/

Bei den kostenlosen Möglichkeiten empfehlen wir dringend, sich an einen Server-Administrator zu wenden, um Fehler oder gar größere Umstellungsprobleme zu vermeiden.

Schritte zur Umstellung HTTP auf HTTPS

Nachfolgend werden die verschiedenen Vorgehensweisen bei der Umstellung von HTTP auf HTTPS genauer erläutert.
Suchmaschinen stufen Seiten, die mit http:// und https:// erreichbar sind, als zwei verschiedene Internetadressen ein. Wurde keine Weiterleitung integriert, ist die Website doppelt und mit gleichem Inhalt erreichbar. Deswegen ist es wichtig, von der HTTP-Seite auf die HTTPS-Seite eine Weiterleitung einzurichten, um Duplicate Content zu vermeiden. Nachfolgend findest du einige Möglichkeiten für serverseitige Weiterleitungen:
Hinweis:
Es ist wichtig, dass nicht nur die Startseite richtig weitergeleitet wird, sondern alle URLs einer Domain, da sonst auch durch Unterseiten Duplicate Content entstehen kann.

301-Weiterleitungen

Eine 301-Weiterleitung übermittelt den HTTP-Statuscode 301 (moved permanently). Das bedeutet, dass eine URL oder ein HTML-Dokument dauerhaft auf eine andere URL weitergeleitet wurde. Der Vorteil des 301-Redirect besteht darin, dass diese Form der Weiterleitung nahezu 100 Prozent des Linkjuice, dass heißt der Stärke der Seite durch Backlinks von anderen Seiten, weiter gibt.
Der 301-Redirect kann beispielsweise über die .htaccess-Datei für den Apache-Webserver oder über die Programmiersprache PHP implementiert werden.

PHP

<?php
if (isset($_SERVER["HTTPS"])===FALSE || empty($_SERVER["HTTPS"])===TRUE) {
   header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
   exit();
}

APACHE

RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Einrichtung über vhost-Konfiguration

Die „Virtual Host – vhost“ Konfiguration ist dafür da unterschiedliche Hostnamen auf unterschiedliche Inhalte umzuleiten.
Die folgende VirtualHost-Konfiguration für Apache ermöglicht den einfachen Redirect von einer Domain auf eine andere. Durch die Direktive ServerAlias auf bestimmte Subdomains ist es möglich alle Subdomains auf einmal auf die gewünschte Domain weiterzuleiten.

vHost Konfig für Apache

<VirtualHost _default_:80>
   ServerName www.example.com
   Redirect permanent / https://www.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName www.example.com
   DocumentRoot /usr/local/apache2/htdocs
   SSLEngine On
# etc...
</VirtualHost>

NGINX

server {
      listen         80;
      server_name    example.com;
      return         301 https://$server_name$request_uri;
}

Canonical-Link

Ein Canonical-Link sollte zusätzlich implementiert werden. Dieser Tag teilt Suchmaschinen mit, dass nur die verlinkte kanonische URL indexiert werden soll. Somit erscheint die HTTP-Seite nicht mehr in den Suchergebnissen. Die Implementierung eines Canonical-Tag ist nur eine Empfehlung an die Suchmaschine die entsprechende Seite nicht zu indexieren und stellt nicht die optimale Lösung für eine Umstellung von HTTP auf HTTPS.

Hinweis:

In diesem Zusammenhang darf auch nicht vergessen werden, dass bereits gesetzte Canonical-Tags auf der Website angepasst werden müssen, denn diese sind womöglich noch mit dem HTTP-Protokoll versehen.

Interne Verlinkung

Zu den internen Links gehören nicht nur die Links in der Seitennavigation, sondern auch Links, die manuell gesetzt worden sind. Viele Content-Management- und Shopsysteme passen die meisten Verlinkungen nach einer Umstellung bereits automatisch an. Dennoch solltest du alle Links überprüfen, um unnötigen Weiterleitungen vorzubeugen.

Interne Links:

Auch wenn 301-Redirects fehlerhafte Links verhindern, sollten nach der Umstellung auf HTTPS alle internen Verlinkungen geändert werden. Wenn dein CMS keine automatische Umstellung vornimmt, müssen interne Links per Hand geändert werden.

Externe Links:

Für die Änderungen von externen Links musst du dich an die jeweilige Person wenden, die den Link zu deiner Webseite gesetzt hat. Je nachdem, wie viele externe Links vorhanden sind, bietet es sich an, alle bzw. die wichtigsten Seiten anzuschreiben und um eine Änderung zu bitten.

Javascript, CSS-Dateien, Bilder usw.

Nicht vergessen sollte man die Umstellung von eingebundenen Medien (Bilder, Videos, CSS, JS), die ebenfalls per HTTPS referenziert werden müssen. Oft werden diese nicht automatisch umgestellt und bedürfen einer manuellen Bearbeitung. Dazu gehören auch Stylesheet- oder JavaScript-Dateien und externe Plugins, z. B. von Facebook.

Hinweis:

Wenn eingebundene Medien nicht auf das sichere HTTPS umgestellt wurden, erscheinen im Browser störende Meldungen.

XML-Sitemaps

Eine XML-Sitemap dient dazu, Suchmaschinen die Indexierung von Webseiten zu erleichtern. Im Grunde ist eine XML-Sitemap eine Liste aller Unterseiten einer Website und soll sicherstellen, dass alle Webseiten von Suchmaschinen Robots gefunden und gecrawlt werden. Wenn eine Umstellung auf HTTPS erfolgt, müssen die XML-Sitemaps mit HTTPS-URLs neu generiert werden.

HREFLang-Links

Viele Onlineshops oder Webseiten sind in mehreren Sprachen verfügbar. Die Inhalte von Seiten in verschiedenen Sprachen unterscheiden sich dabei meist nur geringfügig, sodass es wichtig ist, die geografische Ausrichtung auch Google mitzuteilen. So wird nicht nur die Suchmaschine darauf hingewiesen, welche Seiten in welchem Land in den Suchergebnissen angezeigt werden sollen, sondern es verbessert sich zugleich die Usability für den Nutzer. Google selbst empfiehlt hier die Verwendung des Link-Attribut Markups rel=“alternate“ hreflang=“x“. Wurde dies bereits auf Basis der http://-Seite auf der Website integriert, muss es auch bei der Umstellung auf https:// geändert werden.
Das könnte wie folgt aussehen:

<link rel=“alternate“ href=“https://www.example.com/de“ hreflang=“de-de“ />
<link rel=“alternate“ href=“https://www.example.com/en“ hreflang=“en“ />

Was sollte noch beachtet werden?

Google Analytics / Tracking

Um Daten der neuen Property auch in Analytics abrufen zu können, muss die Google Search Console mit Google Analytics neu verknüpft werden. In den Einstellungen für Property und Datenansicht bei Google Analytics sollte die URL der Website umgestellt werden, sodass ab sofort alle Daten der HTTPS Seite erhalten werden können. Voraussetzung ist eine Weiterleitung von HTTP auf HTTPS.

Google Search Console

Erstelle eine neue Property der HTTPS Version in der Google Search Console, denn so kannst du leicht prüfen, ob es Hinweise oder Fehlermeldungen bei der Indexierung der neuen Seiten gibt. Nicht zu vergessen ist außerdem die Aktualisierung und Hinterlegung einer etwaigen XML-Sitemap (siehe XML-Sitemaps).
Hierfür muss zwingend eine neue Property eingerichtet werden und sofern vorhanden eine neu erzeugte Sitemap mit HTTPS-URLs eingereicht werden. Damit Google schnell Kenntnis über das neue Protokoll der Domain erlangt und deren Inhalt indexieren kann, sollte man die Suchmaschine auffordern, die neue Website zu crawlen.
In der Google Search Console gibt es dafür unter dem Menüpunkt „Crawling“ > „Abruf wie durch Google“ die Möglichkeit, einzelne URLs an den Google-Index zu senden. Die Search Console bietet zu diesem Vorgang ausreichend Informationen und auch der Artikel „Die Search Console anpassen nach der Umstellung von HTTP auf HTTPS“ von tusche-online ist dazu sehr hilfreich.

Google AdWords / Bing Ads

Anpassungen des Protokolls von URLs sollten auch bei Werbeprogrammen wie Google AdWords oder Bing Ads durchgeführt werden. Entsprechend sollte man die Zielseiten von HTTP auf HTTPS ändern. In Google Adwords geht das in der Anzeigenbearbeitung über ein einfaches Dropdown Feld neben der Ziel-URL.

Zusammenfassung / Checkliste

Hier findest du zusammengefasst alle wichtigen Schritte, die du bei der Umstellung von HTTP auf HTTPS berücksichtigen solltest:

• Serverseitigen 301-Redirect einrichten (für alle Unterseiten!)
• Canonical-Links anpassen oder hinzufügen
• Google Search Console aktualisieren
• Hreflang Markup aktualisieren
• Google Search Console aktualisieren
• XML-Sitemap aktualisieren
• Webstatistik-Tools wie Google Analytics umstellen
• Externe und interne Verlinkungen anpassen
• Bilder, Videos, CSS, JS überprüfen und ggf. umstellen
• URLs in Werbeprogrammen (AdWords etc.) anpassen

Mit Seobility kannst du einfach testen, welche Unstimmigkeiten auf deiner Website vorhanden sind und deine Seite anschließend optimieren. Es werden Weiterleitungen von HTTP auf HTTPS analysiert und bei Problemen zeigt dir unser Tool entsprechende Fehler an. Ist deine Website mit HTTP und HTTPS erreichbar, so werden Seiten mehrfach indexiert und damit Duplicate Content erzeugt. Dies gilt es dringend zu vermeiden.

Hinweis zum Schluss

Ein ungültiges bzw. abgelaufenes Zertifikat führt zu einer Warnmeldung im Browserfenster – das Ziel, dem Nutzer Vertrauen und Sicherheit zu vermitteln, wird dadurch verfehlt. Aktualisiere also rechtzeitig deine Zertifikate, sodass der Nutzer nicht von Warnmeldungen abgeschreckt wird.
Beachte, dass Google etwas Zeit benötigt, um deine Website komplett neu zu indexieren. Du musst also ein bisschen Geduld aufbringen, bis die Umstellung auch bei Google komplett angekommen ist.

Weiterführende Artikel:

• Einige wichtige Punkte zur Umstellung von HTTP auf HTTPS (Host Europe Blog)
• 301-Weiterleitungen
• 301, 302, Canonicals – Umleitung und Weiterleitung
• Webseite und Online Shop auf HTTPS umstellen

Bild: Website with ssl certificate @fotolia/gomixer

PS: Erhalte neue Blog Artikel direkt in Dein Postfach!