Die Umstellung auf HTTPS

HTTPS signalisiert die Vertraulichkeit Ihrer Website und zeigt Nutzern, dass es Ihnen - als Betreiber - am Herzen liegt, die Daten Ihrer Besucher zu schützen. Dabei handelt es sich nicht nur um eine Wahrnehmung aus Nutzersicht, denn mit HTTPS schützen Sie tatsächlich Ihre Besucher und deren Privatsphäre. Da diverse Web-Browser mittlerweile sichere als auch unsichere Verbindungen direkt in der Adresszeile symbolisch kennzeichnen, werden potenzielle Kunden möglicherweise eine Website mit TLS-Verschlüsselung einer Site ohne vorziehen. Hinzu kommt, dass HTTPS seit August 2014 als Ranking-Faktor bei Google zu vernehmen ist.

HTTP, HTTPS, TLS - Sie verstehen nur Bahnhof? Oft werden solche Abkürzungen wild umher geworfen, dabei wissen einige gar nicht, was es damit denn auf sich hat. Aber auch die ausgeschriebene Variante solcher Akronyme gibt nur wenig Aufschluss über die eigentliche Bedeutung. Im Folgenden möchten wir deshalb etwas Licht ins Dunkle bringen. 

HTTP steht für Hyper Text Transfer Protocol. Wie der Name schon sagt, handelt es sich dabei um ein Protokoll, welches dafür sorgt, dass eine sichere Verbindung zwischen Client und Server aufgebaut wird. Webseiten sind sogenannte Hypertext-Dokumente. Das HTTP-Protokoll kommt dem entsprechend zum Einsatz, wenn eine Webseite aus dem Internet in einen Webbrowser geladen werden soll. Gibt ein Nutzer in die Browseradresszeile also eine URL ein, sendet der Browser einen Request - zu deutsch eine Anfrage - an den Server, welcher die angefragten Dateien im Idealfall an den Client zurücksendet. Bei HTTP findet dieser Datenaustausch jedoch unverschlüsselt statt, was bedeutet, dass jeder, der auf den Weg der Daten - z. B. durch einen WLAN-Router - zugreifen kann, ebenfalls auf die Daten selbst zugreifen kann. Bei Abfragen sensibler Daten ist die Übertragung mit HTTP also unsicher und daher zu vermeiden. 

Anders als bei HTTP handelt es sich bei HTTPS (Hypertext Transfer Protocol Secure) um die Möglichkeit einer sicheren Datenübertragung, wobei Kommunikationspartner zusätzlich über Zertifikate verifizierbar sind. Dabei ist HTTPS allerdings kein eigenständiges Protokoll, sondern viel mehr die Verwendung von HTTP über TLS (Transport Layer Security). TLS wiederum ist der Nachfolger des aufgrund von Sicherheitslücken abgelösten SSL-Protokolls (Secure Sockets Layer). Der gesicherte Verbindungsaufbau wird über dieses auf dem jeweiligen Server abgelegte TLS-Zertifikat gewährleistet. In einem solchen Zertifikat sind dessen Aussteller, Inhaber sowie ein öffentlicher Schlüssel festgehalten. 

Zur entdgültigen Sicherstellung der Authentizität der Antwort, muss das Zertifikat allerdings noch signiert werden. Die Signierung wird von unabhängigen Institutionen - den sogenannten Zertifizierungsstellen - oder durch dem Zertifikatsinhaber selbst vorgenommen. Bei selbst signierten Zertifikaten wird dem Nutzer allerdings eine Warnmeldung ausgegeben, weshalb die Signierung durch eine anerkannte Organisation vorzuziehen ist. 

Bestimmt sind Ihnen beim Surfen im Internet auch schon das kleine ⓘ, das grüne Schloss mit dem Hinweis „sicher“ oder sogar das rote Warndreieck mit dem Hinweis „Nicht sicher“ oder "Schädlich" im Adressfeld aufgefallen. Eines haben alle drei Varianten gemeinsam: Sie geben dem Nutzer Auskunft darüber, wie es um die Sicherheit der Website-Verbindung der aufgerufenen Seite steht. 

Wie der Googles Browser Chrome bereits mitgeteilt hat, wird es im Oktober 2017 hier jedoch zu Änderungen kommen. Hat man seither nur bei Klick auf das ⓘ oder bei HTTP-Seiten mit Login-Abfrage den direkt sichtbaren Hinweis „Nicht sicher“ bekommen, wird Chrome künftig Sites mit HTTP-Verbindung egal welcher Art deutlich sichtbar mit „Nicht sicher“ kennzeichnen. Wie dies aussehen wird, kann seither nur spekuliert werden. Da auch Firefox bereits ähnlich auf nicht sichere Verbindungen aufmerksam macht, kann davon ausgegangen werden, dass auch andere gängige Browser mit dieser Maßnahme nachziehen werden.

Außerdem zur Debatte steht die Überlegung, ob diese Informationen zudem bald auch in den organischen Suchergebnissen ausgespielt werden. Dies würde bei den Nutzern bereits vor dem Klick auf ein Ergebnis mit unverschlüsselter Verbindung für Misstrauen sorgen und den Webseiten im Umkehrschluss möglicherweise Traffic-Einbußen bringen.

Mit Blick auf die Suchmaschinenoptimierung sollten Sie eine Umstellung vorher gut planen, denn die Suchmaschinen setzen den Umzug auf HTTP mit dem Launch einer neuen Website gleich. Um einem Verlust Ihrer bisherigen Rankings und Social Shares vorzubeugen, sollten Sie einiges beachten. Die folgenden Punkte sind nur ein kleiner Teil der Herausforderungen, die es zu bewältigen gilt:

• Zur späteren Erfolgsprüfung der Umstellung sollten alle relevanten URLs der aktuellen Seite festgehalten werden.
• Sorgen Sie für genügend Server-Ressourcen, da sonst die Gefahr der Überlastung durch die vermehrten Crawls seitens des Googlebots besteht.
• Denken Sie bei der Umstellung auch an die internen Verlinkungen sowie Canonical Tags auf Ihren Seiten.
• Auch interne Ressourcen wie JavaScript und Bilddateien müssen auf HTTPS verfügbar sein.
• Erzeugen Sie eine neue Sitemap und ergänzen Sie diese in der robots.txt.
• Jede HTTP-URL muss 1:1 auf die passende HTTPS-URL per 301-Redirect umgeleitet werden. 
• Legen Sie die neue Website mit "https" in Ihrer Google Search Console als Property an (die alte Property mit "http" kann weiterhin angelegt bleiben)

Für weiterführende Informationen zu HTTP und einen Überblick über die verschiedenen Codes lesen Sie unseren Beitrag zu HTTP Status Codes. Sie planen eine Umstellung auf HTTPS? Beyond Media® hat bereits zahlreiche solcher Umzüge begleitet und weiß worauf es ankommt. Wir machen Sie mit allen wichtigen Maßnahmen vertraut und unterstützen Sie bei der Umsetzung. Gehen Sie kein Risiko ein und kommen Sie auf uns zu - Wir helfen Ihnen gerne!