Umstellung auf HTTPS: Was beachten?

„Ihre Verbindung ist nicht sicher“ melden Browser, Google Search Console und Co. Die Umstellung von Websites auf HTTPS wird immer wichtiger und dringlicher. Aber was alles ist bei der Umstellung von HTTP auf HTTPS zu beachten? Alles dazu in diesem Artikel.

Was ist HTTPS und warum sollte es verwendet werden?

Mit dem Hypertext Transfer Protocol Secure (HTTPS) wird der Datenstrom zwischen Server und Client durch die Verwendung des Verschlüsselungsprotokolls Secure Sockets Layer (SSL) verschlüsselt. Die Daten können dadurch nicht von Dritten abgegriffen werden und deshalb ist HTTPS auch so wichtig.

Ebenso geben die Browser mittlerweile Hinweise darauf, wenn eine Website noch auf HTTP läuft und  kein SSL-Zertifikat verwendet. Sensible Nutzer könnten durch diese Hinweise verschreckt werden.

Verbindug ist nicht sicher Meldung

Hinweis bei einer unverschlüsselten Website

Als Rankingfaktor ist HTTP seit August 2014 definiert. – Bisher zwar nur ein schwach gewichteter Rankingfaktor, aber es ist davon auszugehen, dass dieser, insbesondere durch die immer strenger werdenden Datenschutzverordnungen, wichtiger wird.

1.      SSL aktivieren

Für die Nutzung von SSL wird ein Zertifikat, das einen Schlüssel der autorisierten Zertifizierungsstellen enthält, benötigt. Es gibt sowohl kostenlose als auch kostenpflichtige Zertifikate. Je nach Website werden unterschiedliche Zertifikate benötigt.

Privatpersonen, Organisationen und kleine sowie mittelständische Unternehmen können auf das Domain-Validated-Zertifikat (DV-SSL) zurückgreifen. Größere Unternehmen oder Online-Shops sollten das  Organisation-Validation-Zertifikat (OV-SSL) verwenden und für Banken und Versicherungen sind Zertifikate mit den höchsten Anforderungen vorgesehen (Extended-Validation-Zertifikat, kurz: EV-SSL).

Folgender Screenshot zeigt die Beziehung und Einbindung des häufig kostenlosen „Let’s Encrypt Zertifikats“, welches das Domain-Validated-Zertifikat (DV-SSL) anbietet.

Let's Encrypt Zertifikat beziehen

Let’s Encrypt Zertifikat beziehen

2.      Weiterleitung von HTTP auf HTTPS

Nachdem das Zertifikat bezogen ist, sollte eine 301-Weiterleitung von HTTP auf HTTPS erfolgen. Andernfalls ist die Website sowohl unter HTTP und HTTPS erreichbar und das könnte zu Duplicate Content-Problemen führen.

Die Weiterleitung ist in der .htaccess-Datei einzurichten und besteht aus folgenden Zeilen, die ganz oben in der .htaccess-Datei eingefügt werden:

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wichtig: Hier sollten 301- und keine 302-Weiterleitungen verwendet werden, um zu signalisieren, dass ab jetzt immer HTTPS verwendet wird und nicht nur temporär.

3.      Interne Verlinkungen auf HTTPS umstellen

Damit durch die Weiterleitungen von HTTP auf HTTPS keine internen Weiterleitungen entstehen, sollten alle Verlinkungen geändert werden. Das geht am besten über „Suchen und Ersetzen“ in der Datenbank. WordPress-Nutzern empfehlen wir das Plugin „Better Search Replace“ mit dem man über das WordPress-Backend nach seinen alten HTTP-Pfaden suchen und diese durch die neuen HTTPS-Pfade ersetzen kann.

4.      Testen und Prüfen: War die Umstellung auf HTTPS erfolgreich?

Ob die Umstellung auf HTTPS erfolgreich war und nicht mehr auf HTTP-Dateien verwiesen wird, kann man im Browser prüfen. Dazu einfach die Domain aufrufen. Kann eine sichere Verbindung hergestellt werden, erkennt man das an dem Hinweis „Sichere Verbindung“ bzw. an dem grünen Schloss, welches als Symbol die sichere Verbindung signalisiert.

Meldung "Sichere Verbindung"

Meldung „Sichere Verbindung“

Ist die Verbindung nicht sicher, gibt es ebenso einen Hinweis, der wie im folgenden Screenshot zu sehen, aussehen kann.

Meldung "Verbindung ist nicht sicher"

Meldung „Verbindung ist nicht sicher“

Ein weiterer Test sollte über ein Crawling-Tool, wie z.B. Screaming Frog, erfolgen. Interne Weiterleitungen von HTTP auf HTTPS oder generelle interne Verweise, die noch auf die HTTP-Version zeigen, können damit leicht aufgedeckt werden.

Letzte Schritte nach der Umstellung auf HTTPS

Die Umstellung auf HTTPS besteht im Grunde nur aus den vier zuvor beschriebenen Schritten. Damit aber das Tracking der Website weiterhin reibungslos funktioniert und auch externe Signale (Links) nun auch auf die HTTPS-Version zeigen, sind noch ein paar letzte Schritte notwendig.

HTTPS Version in der Search Console registrieren

Wenn Sie Ihre Website in der Google Search Console angemeldet hatten, müssen Sie nun zusätzlich auch noch die HTTPS-Version als Property hinzufügen.

HTTPS-Property bei der Google Search Console anmelden

HTTPS-Property bei der Google Search Console anmelden

Wichtig: Wenn zuvor eine Disavow-File angelegt war, muss diese mit auf die neue Property mit umziehen. Auch sollten XML-Sitemaps neu eingereicht und hinsichtlich der HTTPS-Version angepasst werden.

Auf HTTPS in Google Analytics umstellen

Bei Google Analytics müssen Sie hingegen keine neue Property hinzufügen. Hier können Sie die Website einfach in den bestehenden Property-Einstellungen auf HTTPS umstellen.

Auf HTTPS in Google Analytics umstellen

Auf HTTPS in Google Analytics umstellen

Weitere Verlinkungen ändern

Externe Verlinkungen sollten wenn möglich ebenfalls auf HTTPS geändert werden, um einheitliche Signale zu erzeugen. Bei vielen Links von Seiten Dritter wird dies jedoch in der Regel zu aufwendig, da man alle Webmaster anschreiben und um die Änderung des Links bitten müsste.

Jedoch sollte man bei den Seiten, die man selbst steuert, wie z.B. die zur Website gehörige Facebook-Fanpage, die Verlinkungen umstellen.

Hilfe bei der Umstellung auf HTTPS?

Sie benötigen Hilfe bei der Umstellung auf HTTPS? Geben Sie uns eine kurze Notiz und wir setzen uns mit Ihnen in Verbindung.