28.08.2017

Spätestens seit der neuen Performance Möglichkeiten durch HTTP/2, ist ein Wechsel auf eine sichere HTTPS Verbindung eine Überlegung wert. Nicht zu vergessen die Vorteile im SEO und zusätzliche Sicherheit für Ihre Nutzer. Mit dieser Anleitung gelingt die Umstellung auf HTTPS.

Worin besteht der Unterschied zwischen HTTP und HTTPS?

HTTP (Hyper Text Transfer Protocol) 

Das HTTP Protokoll ist ein in die Jahre gekommener Standard für den Austausch von Daten über das Internet. Es wird hauptsächlich eingesetzt, um Webseiten aus dem World Wide Web in einen Webbrowser zu laden. Darüber hinaus ist auch der Einsatz als allgemeines Dateiübertragungsprotokoll weit verbreitet.

Vorteile:

  • weit verbreiteter Standard

Nachteile:

  • hohe Latenzzeit, da für jedes Request nach einem Webseitenbestandteil eine neue TCP-Verbindung aufgebaut werden muss
  • fehlende Verschlüsselung der Daten beim Austausch zwischen Server und Client

HTTP Release Dates:

  • HTTP/1.0 – 1996
  • HTTP/1.1 – 1999
  • HTTP/2 – 2015

HTTPS (Hyper Text Transfer Protocol Secure) 

HTTPS ist die Antwort auf die fehlende Verschlüsselung des HTTP Protokolls. Noch bevor ein Byte an Daten übertragen wird, wird eine Verschlüsselung etabliert. Dazu muss die Webseite ein TLS (Transport Layer Security) Zertifikat (Nachfolger des bekannteren SSL Zertifikats) besitzen, welches von einer vertrauenswürdigen Zertifizierungsstelle freigegeben wird.

Ein TLS Zertifikat beinhaltet Schlüssel, die zur Ver -und Entschlüsselung benötigt werden. Diese Schlüssel bestehen aus alphanumerischen Zeichenketten und sind nur schwer zu kapern.

Vorteile:

  • sichere Datenverbindungen und Austausch sensibler Daten möglich
  • volle Unterstützung des neuen HTTP/2 Übertragungsstandards und Reduzierung der Übertragungslatenz
  • Vertrauenswürdigkeit beim Nutzer durch offensichtlichen Hinweis einer sicheren Verbindung
  • Besseres Ranking, da sichere Verbindungen von Suchmaschinen als positiv bewertet werden
  • bessere Datenqualität für Webanalyse

Nachteile:

  • höherer administrativer Aufwand, da TLS Zertifikate teils manuell erneuert werden müssen
  • Performance Einbußen und höheres Time To First Byte aufgrund des erhöhten Datenabgleichs (Key Check) möglich

Warum lohnt sich der Wechsel zu HTTPS?

Seit Jahren versucht Google das Internet sicherer zu machen und hält Webmaster dazu an, auf sichere Datenverbindungen umzustellen. Neben besseren Rankings und einer sicheren Umgebung für den Nutzer, gibt es weitere Gründe, warum sich ein Wechsel zu HTTPS lohnt.

Performance stärken durch HTTP/2 Unterstützung

HTTP/2 ist die letzte Weiterentwicklung des HTTP Standards. Dieser Standard reduziert die Latenzzeit der Datenübertragung durch multiple Requests über eine einzige TCP Verbindung.

Ohne HTTP/2 war es zum Beispiel sinnvoll, Ressourcen einer Webseite asynchron zu laden und zu möglichst wenigen Dateien zusammenzufassen. Dadurch mussten weniger TCP Verbindungen aufgebaut werden, was zu einer Verbesserung der Ladezeit führte.

HTTP/2 verbesserte diesen Zustand enorm und reduzierte die Ladezeit laut einer Studie von Mozilla um 50-70 %, da nun mehrere Ressourcen parallel über eine TCP Verbindung übertragen werden können.

Im Gegensatz zum HTTP/2 Vorgänger SPDY kann der HTTP/2 Standard auch ohne TLS Zertifikat umgesetzt werden. Es macht jedoch wenig Sinn, da die größten Webbrowser Firefox und Chrome mindestens TLS 1.2 voraussetzen, um die Daten via HTTP/2 zu laden.

SEO und Rankings positiv beeinflussen

Bereits 2014 sagte Matt Cutts von Google, dass HTTPS ein Rankingsignal für Google darstelle und dieses stärker werden wird.

Reading „HTTPS as a ranking signal“: http://t.co/nEjcGhm8bJ

— Matt Cutts (@mattcutts) August 7, 2014

In den letzten Jahren hat sich diese Aussage mehr als bewahrheitet. Insbesondere bei Webseiten, auf denen es zu einem Austausch sensibler Daten kommt (z.B. Onlineshops, Support Systeme, Banking & Finance), veränderten sich die Rankings merklich positiver, nachdem ein Wechsel zu HTTPS erfolgte.

Bessere Referral Daten erhalten

Bei einem Wechsel des Nutzers von einer Webseite mit HTTPS zu einer anderen Webseite ohne HTTPS geht der sogenannte Referrer verloren und eine Auswertung mittels Google Analytics wird fehlerhaft.

Beispiel ohne HTTPS:
Sie fahren eine Online Marketing Kampagne auf sozialen Netzwerken wie Reddit. Reddit und Co. laufen unter HTTPS während Ihre Seite noch keine sichere Verbindung unterstützt. Ihre Kampagne auf Reddit ist ein voller Erfolg und Ihr Content Marketing scheint sich zu lohnen. Es entstehen viele Links zu Ihren Seiten, die von den Reddit Nutzern fleißig geklickt werden.

Problem:
Die Reddit Nutzer kommen aus einer gesicherten HTTPS Verbindung durch die aufgebauten Verlinkungen auf Ihre ungesicherten Seiten. Dabei verlieren die Nutzer ihren „sicheren“ Referrer. Auf Ihren Seiten angekommen, können Sie nun nicht mehr klar zuordnen von wo die Nutzer kamen und ob Ihr Content Marketing auf Reddit wirklich so lukrativ war. Würden Ihre Seiten unter HTTPS laufen, wäre das nicht passiert.

Mehr Sicherheit für Ihre Nutzern schaffen

HTTPS steht für mehr Sicherheit im Internet! Besonders für E-Commerce Webseiten, wo es zu einem Austausch sensibler Zahlungsdaten kommt, ist es wichtig, seinen Nutzern Sicherheit zu gewährleisten.

Durch ein TLS Zertifikat erscheint in der URL Adresse ein Hinweis „Sicher“ und signalisiert dem Nutzer eine vertrauenswürdige Verbindung. An den Stellen, an denen sensible Daten getauscht werden, würde ohne TLS Zertifikat eine Warnung für den Nutzer erscheinen, die einen Abbruch der Bestellung wahrscheinlicher macht.

10 Stufen der HTTP zu HTTPS Migration

Die Migration eines TLS Zertifikats bzw. die Umstellung von HTTP zu HTTPS erfolgt in mehreren Schritten und sollte vorab gut durchdacht werden. Die nachfolgende Checkliste soll dabei behilflich sein.

1. Kauf eines TLS Zertifikats
2. Installation des TLS Zertifikats
3. Mixed Content vorbeugen
4. Weiterleitungen einrichten und anpassen
5. robots.txt aktualisieren
6. XML Sitemaps aktualisieren
7. Google Search Console konfigurieren
8. Reupload des Disavow Files
9. Update des Google Analytics URL Profils
10. Sonstige Anpassungen

 

1. Kauf eines TLS Zertifikats

Es gibt 2 Wege, um ein TLS Zertifikat zu erwerben:

  1. Direkt vom Hoster
  2. Von einer Zertifizierungsstelle

In den meisten Fällen ist es am einfachsten direkt beim Webhoster anzufragen. In neuen Webhosting Paketen ist ein TLS Zertifikat oft bereits inklusive.

Bei dem Erwerb eines TLS Zertifikat stellt sich weiterhin die Frage, welche TLS Validation Form / Zertifizierungstyp gewählt werden soll.

Es gibt folgende 3 TLS Validation Formen:

  • Domain Validation
  • Business/Organization Validation
  • Extended Validation

Domain Validation:
Bestimmt für eine Single Domain oder Sub Domain. Die Verifizierung ist einfach und erfolgt via Email. Die einfache TLS Zertifizierung ist schnell erledigt und kostengünstig.

Domain Validation Hinweis

Domain Validation Hinweis

Business/Organization Validation:
Bestimmt für eine Single Domain oder Sub Domain. Die Verifizierung erfolgt über einen Nachweis der Unternehmenstätigkeit und vermittelt eine höhere Vertrauenswürdigkeit. Eingerichtet in 1-3 Tagen.

Extended Validation:
Bestimmt für eine Single Domain oder Sub Domain. Die Verifizierung erfolgt über einen Nachweis der Unternehmenstätigkeit und vermittelt eine höhere Vertrauenswürdigkeit. Eingerichtet in 2-7 Tagen. Kostenintensiv. Zusätzliche Darstellung einer grünen Leiste im Browser.

Extended Validation Hinweis

Extended Validation Hinweis

 

2. Installation eines TLS Zertifikats

Die Installation eines TLS Zertifikats ist nicht immer einfach und sollte von einem Experten durchgeführt werden. Meist bietet der Webhoster einen solchen Service an.
Abhängig von der verwendeten Technik kann die Implementierung variieren.

Anleitungen und Dokumentationen

Ob das TLS Zertifikat korrekt eingebunden wurde, kann hier getestet werden:

 

3. Mixed Content vorbeugen

Mixed Content Probleme treten auf, wenn Daten zur Darstellung der Webseite über verschiedene Protokolle HTTP und HTTPS geladen werden. Eine solche Verbindung ist unsicher und sollte vermieden werden.

Alle Daten die zur Darstellung benötigt werden und auf dem eigenen Server liegen (z.B. CSS Dateien, JS Dateien, Bilddateien), sollten einheitlich über das HTTPS Protokoll geladen werden. Zudem sollten alle Hard Coded Links von HTTP zu HTTPS umgewandelt werden. Für die Datenbanken gibt es viele Search-and-Replace Skripte, die das Umschreiben automatisieren.

Mehr Informationen zu Mixed Content (Google Developers)

 

4. Weiterleitungen einrichten und anpassen

Eine der wichtigsten Schritte bei der Migration von HTTPS ist das Einbinden von 301 Weiterleitungen. 301 Weiterleitungen sind permanente Weiterleitungen, die zu 99% Link Juice (Ranking Power) an die Zielseite vererben. Werden 301 Weiterleitungen der alten HTTP URLs bei einer HTTPS Migration vergessen, können enorme Rankingeinbrüche eintreten.

Da es unmöglich ist, für mehrere Tausend URLs manuell 301 Weiterleitungen anzulegen, empfiehlt es sich serverseitige 301 Weiterleitungen zu implementieren, die jeden Aufruf automatisch auf die HTTPS Version leitet.

NGINX (Nginx config file)

server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}

Apache (.htaccess file)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

 

5. robots.txt aktualisieren

Häufig sind in der robots.txt verschiedene URL Pfade hinterlegt wie z.B. der Pfad zur sitemap.xml. Bei einem Wechsel zu HTTPS wird oft vergessen diese Pfade korrekt anzupassen. Jeder darin befindliche Pfad sollte entsprechend der neuen Ressourcen unter HTTPS angepasst werden.

 

6. XML Sitemaps aktualisieren

In einer Sitemap, die als xml-Datei gespeichert wird, befinden sich alle URLs, die von Suchmaschinen wie Google indexiert und in den SERPs gelistet werden sollen. Bei einem Wechsel zu HTTPS müssen alle dort befindlichen URLs an den neuen HTTPS Pfad angepasst werden.

Bei der Gelegenheit kann auch gleich der Status Code der neuen URLs überprüft werden. Alle URLs sollten dabei den Status Code 200 OK liefern.

 

7. Google Search Console konfigurieren

Nachdem sämtliche Weiterleitungen auf die HTTPS Version implementiert und überprüft wurden, muss eine neue Google Search Console Property für die HTTPS Version angelegt werden. Weiterführende Informationen zur Einrichtung der Google Search Console

Nachdem eine Property für die HTTPS Version angelegt und konfiguriert wurde, können alle neuen HTTPS URLs an Google geschickt werden. Hierzu wird die sitemap.xml hochgeladen.

Google Search Console: sitemap.xml hochladen

Google Search Console: sitemap.xml hochladen

Anschließend kann das Crawling der neuen HTTPS Seiten durch „Abruf wie durch Google“ angestoßen werden. Hier sollte die Startseite abgerufen und gerendert werden. Ist das Abrufen und Rendern fehlerfrei durchgelaufen, wird „Indexierung beantragen“ und als Option „Diese URL und ihre direkten Links crawlen“ gewählt.

Google Search Console: Abruf durch Google

Google Search Console: Abruf durch Google

 

8. Reupload des Disavow Files

Dieser Schritt wird am häufigsten vergessen. Sofern Ihre Webseite von schädlichen Backlinks betroffen war und Sie diese durch das Google Disavow Tool entwertet haben, müssen Sie diesen Vorgang wiederholen, da im Schritt zuvor eine neue Property angelegt wurde.

Rufen Sie dazu das Google Disavow Tool auf und laden Sie zunächst das bereits aktive Disavow File der HTTP Version herunter.

Google Disavow Tool

Google Disavow Tool

Rufen Sie das Google Disavow Tool anschließend erneut auf und wählen Sie nun die HTTPS Property aus. Laden Sie im Anschluss das Disavow File hochk, um den gesamten Vorgang zu beenden.

Goolge Disavow Domain auswählen

Goolge Disavow Domain auswählen

 

9. Update des Google Analytics URL Profils

Bei der Umstellung auf HTTPS muss auch die Einstellung im Google Analytics Konto hinterlegt werden. Unter Verwaltung > Property-Einstellungen kann die Standard-URL entsprechend auf HTTPS geändert werden.

 

10. Sonstige Anpassungen

Neben den genannten Schritten der HTTPS Migration gibt es weitere URL Anpassungen die zu beachten sind:

  • Überprüfung und Korrektur gesetzter Canonical Tags
  • Überprüfung und Korrektur von Third-Party PPC URLs (AdWords, Bing Ads, Facebook Ads etc.)
  • Überprüfung und Korrektur der Email Marketing Software URLs (MailChimp, Campaign Monitor etc.)
  • Überprüfung und Korrektur externer Social Media Links (Facebook, Twitter, Google+, LinkedIn etc.)
  • Sofern möglich Anpassung externer Backlinks
  • Überprüfung und Korrektur der URLs, die im Content Delivery Network (CDN) hinterlegt wurden

Bonus: HTTP Strict Transport Security für noch mehr Sicherheit über HTTPS

Die HTTP Strict Transport Security (HSTS) Header ist ein weiterer Sicherheitsmechanismus der HTTPS Verbindungen vor Downgrade-Attacken sowie Session Hijacking schützt. HSTS dient der opt-in Security bei Seitenaufrufen und nutzt einen speziellen Response Header. Empfängt der Browser des Nutzers diesen Header, werden alle folgenden Verbindungen strikt über HTTPS aufgebaut.

NGINX benötigt folgende Codeergänzung in der server{} Section

add_header Strict-Transport-Security max-age=63072000; includeSubDomains; preload

Apache (.htaccess file)

Header set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

Ist der neue HSTS Header eingebaut, kann die Webseite zum HSTS Preloading eingereicht werden. HSTS Preloading ist eine Browserfunktion, die Webseiten aus einer Host Liste per se über HTTPS aufruft und von Chrome, Mozilla und Safari unterstützt wird.

Bereits bei dem ersten Besuch der Webseite weiß der Browser des Nutzers, dass es sich um eine HTTPS Verbindung handelt und ruft diese direkt und ohne Weiterleitung von HTTP zu HTTPS auf. Die Host Liste wird von Google erstellt. Unter Einhaltung der Richtlinien ist eine Eintragung problem- und kostenlos.

HSTS Preloading Eintragung 

Fazit: „Soll ich zu HTTPS wechseln?“ Kurze Antwort: YES!

HTTPS bringt viele Vorteile mit sich, erhöht die Sicherheit bei der Übertragung sensibler Daten, kann zu einem Performance Boost beitragen, erhöht die Datenqualität und fördert das Ranking in den Google Suchergebnissen. Im Bereich E-Commerce und monetären Transaktionen ein absolutes Muss! Eine Migration von HTTPS ist zudem verhältnismäßig einfach und recht schnell vollzogen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.