Seit der Veröffentlichung der Chrome Version 68 werden Websites, die über keine hinreichende Verschlüsselung, also HTTPS verfügen, als unsicher gekennzeichnet. Dieser neue Sicherheitsaspekt wird von Google immer wieder erwähnt. Seit September 2022 befindet sich in der Google Search Console der neue Reiter „HTTPS“. Dies sind Anzeichen dafür, dass Google großen Wert auf die Verwendung des Sicherheitsprotokolls legt. Die Behauptung, dass unter der Verwendung von HTTP heute kaum noch Chancen für eine gute Rankingposition gegeben sind, liegt daher nicht fern. Dabei ist die Einbindung eines SSL-Zertifikats allein noch nicht ausreichend. In diesem Beitrag erfährst du, was es rund um das Thema HTTPS zu beachten gilt.
Patricks Meinung:
Es ist unbedingt notwendig Webseiten auf HTTPS umzustellen und eine grundlegende 301 Weiterleitung von HTTP auf HTTPS einzurichten. Zusätzlich sollten alle internen Verlinkungen und Ressourcen auf HTTPS geändert werden. Um dabei keine Ausweichmöglichkeiten offen zu lassen, sollte außerdem HSTS aktiviert werden.
Das richtige SSL-Zertifikat einrichten
Gemäß der Dokumentation von Google sollte ein Zertifikat mit einem Schlüssel von mindestens 2.048 Bit gewählt werden. Außerdem sollte auf eine zuverlässige Zertifizierungsstelle und auch auf den Zertifikatstyp geachtet werden.
Erfreulich ist dabei, dass die großen Hostinganbieter wie Host Europe, Mittwald, Hetzner und Strato über Zertifikate mit ausreichendem Schutz verfügen. In vielen Fällen werden die kostenlosen, und in den meisten Fällen auch ausreichenden, Let’s Encrypt Zertifikate angeboten.
Bei einem einfachen Webhosting oder bei managed Servern ist die Einrichtung in den überwiegenden Fällen kinderleicht. Meistens kann das SSL Zertifikat mit nur wenigen Klicks der richtigen Domain zugewiesen werden.
Serverseitige Weiterleitungen
Einige Anbieter stellen im Zuge der SSL-Zuweisung auch die Möglichkeit zur Verfügung, dass alle Seitenaufrufe automatisch auf HTTPS umgeleitet werden. Diese Aktivierung wird empfohlen, wobei anschließend unbedingt die Website auf ihre Funktionsfähigkeit hin überprüft werden sollte.
Handelt es sich um einen Apache-Server, kannst du alternativ auch die .htaccess Datei im Rootverzeichnis bearbeiten. Füge dazu den folgenden Codeschnippsel in die .htaccess Datei ein:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Manche CMS bieten bereits Konfigurationsmöglichkeiten an oder können mit Plugins und Tools erweitert werden. Auf zusätzliche Plugins und Erweiterungen würde ich jedoch nur im Notfall zurückgreifen.
Mixed Content vermeiden und Verlinkungen anpassen
Zusätzlich zu der Einrichtung der 301 Weiterleitungen von HTTP auf HTTPS sollten unbedingt auch alle internen Verlinkungen entsprechend angepasst werden. Dies bietet den Vorteil, dass Crawler den Weiterleitungen nicht folgen müssen und dadurch langfristig keine langen Weiterleitungsketten entstehen.
Außerdem sollten auch alle verwendeten Ressourcen via HTTPS geladen werden. Ist dies nicht der Fall, und werden beispielsweise Bilder weiterhin via HTTP eingebunden, handelt es sich um mixed content, so dass die Website nur teilweise verschlüsselt wird. Sind bestimmte Ressourcen nur via HTTP erreichbar, könnte dies zu Problemen führen.
Prüfung der HTTPS Umstellung
Am besten lässt sich die gesamte Umstellung mit einem Crawlingtool, wie beispielsweise dem Screaming Frog, überprüfen. Dazu sollte vor der Umstellung ein vollständiger Crawl durchgeführt und gespeichert werden. Nach der Umstellung lässt sich der Crawl wiederholen, so dass Probleme identifiziert werden können.
Alternativ bietet die Google Search Console seit September 2022 eine Übersicht der HTTP und HTTPS URLs an.
HSTS
Für weiteren Schutz sollte zusätzlich zu der HTTPS-Weiterleitung auch die HSTS Einstellung aktiviert werden. Bei einigen Anbietern ist auch dies über die Benutzeroberfläche mit nur wenigen Klicks möglich. Alternativ ist weiterführendes technisches Knowhow erforderlich.