Websites auf HTTPS umstellen - die wichtigsten Punkte, die es zu beachten gilt
Trackback URL
Die Umstellung einer Website von HTTP auf HTTPS bedeutet für Nutzer einen verbesserten Datenschutz. Für Websitebetreiber geht sie längerfristig meist mit besseren Rankings und mehr Vertrauen der Nutzer einher. Der Aufwand für die Umstellung ist überschaubar. Trotzdem müssen einige Punkte beachtet werden -- und nicht immer ist die Umstellung problemlos möglich.
In seiner viel beachteten Studie zu den Rankingfaktoren hat das Unternehmen Searchmetrics Anfang 2017 auf die große Bedeutung von HTTPS als Rankingfaktor hingewiesen. Im Bereich der Technik ist die Verschlüsselung das Kriterium, das im Vergleich zum Vorjahr am meisten an Relevanz gewonnen hat. Websites mit HTTPS werden deshalb in der Regel besser platziert als Mitbewerber ohne die Verschlüsselung. Da Verbraucher zunehmend für das Thema Datenschutz sensibilisiert sind, ist eine Website mit HTTPS in der Regel ein Gewinn für Unternehmen. Die gängigen Browser wie Chrome und Mozilla Firefox informieren den Nutzer über das zugrunde liegende Protokoll und zeigen auf, wenn eine Verbindung (vermeintlich) nicht sicher ist, weil sie nur HTTP nutzt.
Abbildung (oben): Browser informieren den Nutzer darüber, ob die Verbindung sicher ist
Abbildung (unten): Anzeige für eine Download-Seite von contentXXL im Browser "Chrome"
HTTPS steht für Hypertext Transfer Protocol Secure. Das Protokoll wird zur sicheren Datenübertragung im Internet verwendet, denn anders als bei HTTP sind bei HTTPS die übertragenen Daten per SSL verschlüsselt. Der Datenverkehr zwischen Browser und Server, auf dem die aufgerufene Website liegt, kann von Dritten nicht, oder nur mit sehr großem Aufwand, mitgelesen werden. Damit eine Website HTTPS nutzen kann, muss sie ein SSL-Zertifikat besitzen.
SSL-Zertifikat für HTTPS bekommen - So geht's!
SSL-Zertifizierungsstellen überprüfen, ob die Website tatsächlich zum angegebenen Unternehmen gehört. Kostenlose, einfache Zertifikate bietet Letsencrypt.org. Das Angebot genügt, um eine Website von Google als sicher einstufen zu lassen. Damit Browser Websites als eindeutig sicher anzeigen -- zum Beispiel über ein grünes Schloss oder ähnliches Symbol -- sind erweiterte, kostenpflichtige Zertifikate notwendig. Diese werden unter anderem von Symantec, thawte und RapidSSL ausgestellt. Eine Übersicht über Anbieter und einen SSL-Leitfaden bietet die Website sslmarket.de. Vor allem Onlineshops und Websites, die erweiterte Kontaktdaten wie Telefonnummer und Adresse erfassen, sollten genau prüfen, für welches Zertifikat sie sich entscheiden. Wer mehrere Subdomains betreibt (zum Beispiel blog.example.com und www.example.com), benötigt mehrere Zertifikate oder ein sogenanntes Wildcard-Zertifikat, das für alle Unterdomains gilt.
Website auf HTTPS umstellen - die Stolperfallen
Wenn Sie eine Website auf HTTPS umstellen, ändert sich im Grunde genommen Ihre Internetadresse. Entsprechend müssen Sie zahlreiche URLs umbenennen, die bisher mit http:// begannen.
1. Mixed Content und tote Links vermeiden
Innerhalb der Website müssen die Links aller eingebundener Inhalte und Ressourcen wie Bilder, JavaScript- und CSS-Dateien mit https:// beginnen, weil sie sonst nicht geladen werden können. Das gleiche gilt für interne Verlinkungen, Canonical-URLs, hreflanguage-URLs, alternate-URLs und alle anderen Links mit der URL der umgestellten Website.
Abbildung: So würde unsere Webseite www.contentXXL.de aussehen, wenn die CSS-Datei aufgrund von "mixed content" (eine eingebundene Datei wird über http anstelle von https aufgerufen) nicht geladen würde. Mixed Content führt dazu, dass eingebundene Dateien nicht geladen werden können. Dies kann z.B. CSS, JavaScript, iFrames u.v.m. betreffen.
2. Korrekte Weiterleitungen einrichten
Soll von alten HTTP-URLs auf neue HTTPS-Seiten weitergeleitet werden, ist eine korrekte 301-Weiterleitung notwendig. Eine Website mit beiden Protokollvarianten zu betreiben, ist nicht sinnvoll, weil Google dann meistens Duplicate Content erkennt und unter Umständen eine Abstrafung vornimmt.
3. Die Sitemap an HTTPS anpassen
Umgestellt werden muss auch die Sitemap. Mit ihr kann Google die Website schnell und zuverlässig indizieren. Sind nur die HTTPS-URLs aufgeführt, spart das Ressourcen.
4. HTTPS-Umstellung bei Google-Diensten
Webmaster, die die Google Search Console, Google Analytics oder AdWords nutzen, müssen auch dort die neue HTTPS-URL hinterlegen. In der Search Console muss eine neue Property angelegt werden. Anhand der alten HTTP-Property und der neuen HTTPS-Property können Sie zudem verfolgen, ob und welche Änderungen im Traffic es gibt. Für Analytics ist eine Neuverknüpfung mit der Search Console notwendig. Bei AdWords müssen die Ziel-URLs umgestellt werden.
5. Robots.txt aktualisieren
Die robots.txt ist die erste Datei, die ein Crawler auf Ihrer Website liest. Zum einen müssen Sie sicherstellen, dass die Datei über die neue HTTPS-URL erreichbar ist und über die HTTP-URL nicht mehr. Zum anderen dürfen die HTTPS-URLs nicht für die Crawler gesperrt sein.
6. Backlinks auf HTTPS umstellen
Mit einer korrekt eingerichteten Weiterleitung funktionieren Backlinks auch weiterhin. Eleganter und für die Linkqualität hilfreicher ist – zumindest für wichtige Linkquellen - die Umstellung der Backlinks auf HTTPS. Dazu muss der Webmaster der verlinkenden Website kontaktiert werden. Mit welcher Website Ihre Domain über Inbound-Links verbunden ist, erfahren Sie zum Beispiel über die Google Search Console.
Kontrolle nach der HTTPS-Umstellung
Ist Ihre Website umgestellt, sollten Sie den Traffic und die Click-Trough-Rates (CTR) im Blick behalten. Kleine Schwankungen sind normal, bei größeren Einbrüchen liegt möglicherweise ein Fehler vor. Es kann zum Beispiel sein, dass ein Nofollow-Tag die Crawler auf den neuen HTTPS-URLs blockiert. Einen hilfreichen (englischsprachigen) Artikel, Was in diesem Fall helfen kann, bietet Moz (https://moz.com/blog/recovering-your-organic-search-traffic-from-a-web-migration-gone-wrong).
Wann die Umstellung auf HTTPS problematisch sein kann
Wer auf seiner Website viel Werbefläche bereitstellt und dafür Google AdSense und DoubleClick Ad Exchange nutzt, muss möglicherweise mit Einschränkungen rechnen. Denn nur wenn die Anzeigen SSL-kompatibel sind, können Sie auf HTTPS-Websites erscheinen. Google arbeitet zwar schon seit längerem daran, möglichst viele SSL-kompatible Anzeigen bereitzustellen, doch ist der Sicherheitsstandard (noch) kein Muss. Es ist deshalb empfehlenswert, vor der Umstellung zu prüfen, inwieweit mit Einbußen bei den Werbeeinnahmen zu rechnen ist. Unternehmen, die zusätzlich zur Hauptseite einen gewinnbringenden Blog betreiben, können auch die Möglichkeit einer nicht verschlüsselten Subdomain (blog.example.com) prüfen.
Wie ein CMS bei der Umstellung helfen kann
Mit einem soliden CMS sollte die Umstellung deutlich erleichtert werden. Zahlreiche oben beschriebenen Stolperfallen lassen sich durch geeignete Automatismen und entsprechende Einstellungsmöglichkeiten leicht umgehen. Wichtig ist es, die Stolperfallen zu kennen und die richtigen Einstellungen vorzunehmen. Der Rest sollte mit einem soliden Content Management System leicht zu bewerkstelligen sein.
Lassen Sie uns wissen, was Sie denken...