HTTPS: Darum braucht eure Website diese Verschlüsselung

Es überträgt Daten abhörsicher, außerdem erwartet Google es mittlerweile von jedem Online-Auftritt, der gut ranken will: HTTPS steht für "Hypertext Transfer Protocol Secure" (zu Deutsch "sicheres Hypertext-Übertragungsprotokoll"). Hier kommen die Details.


HTTPS steht für "Hypertext Transfer Protocol Secure".
(https / Pixabay-Lizenz)

Was ist HTTPS?

So wie HTTP ist HTTPS ein Netzwerk-Protokoll, das Daten überträgt und Webseiten in Browsern wie Chrome oder Firefox lädt. Es steht am Anfang einer Web-Adresse. Noch vor einigen Jahren war die sichere Variante HTTPS eher die Ausnahme, die meisten Online-Auftritte nutzten nur HTTP ("Hypertext Transfer Protocol" ohne "Secure").

Das Risiko: Unverschlüsselt sind Daten, die über das Internet übertragen werden, theoretisch für jeden als Klartext lesbar. Eine echte Gefahr ist das sogenannte "Phishing": Über gefälschte Online-Banking-Webseiten greifen Unbefugte sensible Daten ab, um anschließend fremde Konten leerzuräumen.

HTTPS verhindert dies, da es die Website als echt zertifiziert und eingegebene Daten für Außenstehende unsichtbar macht. Das entsprechende digitale Zertifikat kann nur eine (wiederum selbst zertifizierte) Zertifizierungsstelle ("certificate authority", kurz CA) ausstellen.


HTTPS überträgt Daten abhörsicher und verifiziert eure Website.

Welche Arten von HTTPS gibt es?

Grundlage ist immer das Verschlüsselungsprotokoll TLS (Transport Layer Security), das auch unter seiner Vorgängerbezeichnung bekannt ist: SSL (Secure Sockets Layer).

TLS- bzw. SSL-Zertifikate machen aus der unsicheren HTTP-Version das sichere HTTPS-Protokoll. Es gibt drei Stufen:

Stufe 1 – Zertifikate mit Domain-Validierung (DV): Sie bieten die niedrigste Authentifizierungsstufe. Die Zertifizierungsstelle prüft lediglich, ob ihr im Besitz der entsprechenden Domain seid, die ihr zertifizieren lassen wollt. Es werden keine Unternehmensinformationen geprüft. Fazit: schnell zu bekommen und günstig, jedoch mit einem Restrisiko behaftet.

Stufe 2 – Zertifikate mit Organisations-Validierung (OV): Sicherer, aber auch teurer als die Domain-Validierung, da die Zertifizierungsstelle zusätzlich relevante Unternehmensinformationen prüft (z. B. den Handelsregister-Eintrag).

Stufe 3 – Zertifikate mit Extended Validation (EV): Die höchste, umfangreichste und teuerste Authentifizierungsstufe. Nur speziell autorisierte Zertifizierungsstellen können sie vergeben, wobei diese dann eure Unternehmensinformationen äußerst genau prüfen. Ein Muss für alle Websites, auf denen Transaktionen mit sensiblen Daten ablaufen (z. B. Online-Banking-Seiten und Online-Shops).

Welche Websites welche Zertifizierungsstufe nutzen, könnt ihr mit diesem SSL-Check prüfen.

HTTPS: Wo bekomme ich die Zertifikate und was kostet das?

Anbieter gibt es viele, anbei eine Auswahl:
Die Preisspanne ist groß: Von unter 100 Euro bis über 1.000 Euro pro Jahr ist alles dabei. Kostenlose Angebote gibt es auch, zum Beispiel bei letsencrypt.org.

Wie wird HTTPS installiert und konfiguriert?

Das übernimmt normalerweise euer Hosting-Dienstleister für euch, indem er das erworbene TLS-Zertifikat auf dem Server installiert.

HTTPS: Worauf muss ich noch achten?

1. Vermeidet abgelaufene Zertifikate. Andernfalls gibt es irritierende Warnmeldungen im Browserfenster, wenn ein User eure Seiten ansurft:

Google Chrome warnt vor unverschlüsselten Webseiten.
Google Chrome warnt vor Seiten ohne gültiges TLS-Zertifikat.

2. 301-redirects einrichten. Wenn ihr von HTTP auf HTTPS wechselt, müsst ihr permanente Weiterleitungen (301-redirects) einrichten: Google behandelt einen Online-Auftritt, der sowohl unter HTTP als auch unter HTTPS aufrufbar ist, wie zwei verschiedene Websites.

Problem: Google mag keine doppelten Inhalte (Duplicate Content). Genau die produziert ihr aber, wenn eure Website sowohl unter HTTP als auch unter HTTPS erreichbar ist. Mit 301-redirects stellt ihr sicher, dass eure Seiten nur noch unter der HTTPS-Version aufrufbar sind.

3. XML-Sitemap aktualisieren: Eine XML-Sitemap ist ein (für den User unsichtbares) Inhaltsverzeichnis aller Seiten eures Online-Auftritts. Google kann dadurch sehr viel leichter und umfassender eure Seiten indexieren und damit in der Google-Suche abbilden. Wenn ihr auf HTTPS umgestellt habt, müssen folglich auch die in der Sitemap hinterlegten Seiten die HTTPS-Varianten sein.

Fazit: HTTPS ist mittlerweile Pflicht

Auch wenn keine Transaktionen mit sensiblen Daten auf eurer Website ablaufen: Wenn ihr in Sachen Suchmaschinenoptimierung (SEO) gut bei Google ranken und Besucher eurer Website nicht mit Browser-Warnmeldungen irritieren wollt, müssen eure Seiten HTTPS-verschlüsselt sein.

Kommentare

Jürgen hat gesagt…
Hallo Mathias,

durch deinen Blogbeitrag wurde ich erneut daran erinnert, dass ich endlich mal ein großes Wordpress-Projekt von mir auf HTTPS umstellen muss. Leider ist es mit dem Erwerb eines Zertifikats nicht getan. Ich müsste Hunderte URLs umleiten. Kennst du dafür einen einfachen Weg? Einer, der nicht mein SEO-Ranking killt?

Grüße
Jürgen
Mathias Sauermann hat gesagt…
Hallo Jürgen,

ein Zertifikat gilt domain-weit, inklusive aller dazugehörigen URLs.

Wenn also alle URLs zur selben Domain gehören, reicht ein Zertifikat.

Hunderte permanente Umleitungen (301-redirects) sind für Google kein Problem. Kritisch wird es nur, wenn es sich um Weiterleitungsketten handelt (es also mehr als eine Weiterleitung braucht, um auf die neue Zielseite zu gelangen).

SEO-seitig verursachen Weiterleitungen eine anfängliche Ranking-Delle, wenn es sich aber um permanente Weiterleitungen (301-redirects) handelt, sind dir die alten Rankings nach kurzer Zeit wieder sicher.

Viele Grüße
Mathias

Hier bloggt Mathias Sauermann:

NEWSLETTER:

Erhalte die besten Beiträge meines Blogs >gratis und freibleibend!

Vernetze dich mit mir auf LinkedIn.

Weitere spannende Beiträge dieses Blogs findest du in den Rubriken:
Online-Marketing-Tipps
Digitalisierung

Meinung!
Onliner-Allerlei


Titelbild: Digital Art unter CC0 1.0