HTTPS/SSL und Website-Sicherheit
Was ist HTTPS/SSL?
HTTPS (HTTP Secure) ist ein Protokoll, das den Datenaustausch zwischen einer Website und dem Browser des Besuchers verschlüsselt. Diese Verschlüsselung wird durch ein SSL/TLS-Zertifikat der Website gewährleistet; das Zertifikat fungiert als digitales Dokument, das dem Browser die Identität der Website bestätigt. Das Schloss-Symbol in der Adressleiste des Browsers zeigt an, dass die Verbindung verschlüsselt ist und das Zertifikat gültig ist.
Über HTTP gesendete Daten werden im Klartext übertragen; das bedeutet, dass Dritte im selben Netzwerk (z. B. in einem öffentlichen WLAN) die Daten lesen können. HTTPS verschlüsselt diese Daten und macht sie somit nur für den Absender und den Empfänger lesbar.
SSL-Zertifikate sind in der Regel für einen bestimmten Zeitraum (z. B. ein Jahr) gültig und müssen nach Ablauf erneuert werden; heutzutage automatisieren viele Hosting-Anbieter diesen Vorgang, sodass das Zertifikat automatisch erneuert wird, was den manuellen Aufwand reduziert.
Warum ist das wichtig?
HTTPS schützt Nutzerdaten (Formulareingaben, Anmeldedaten, Zahlungsinformationen) vor Man-in-the-Middle-Angriffen. Google wertet die Verwendung von HTTPS als leichtes Ranking-Signal aus, und Browser zeigen bei HTTP-Websites die Warnung „Nicht sicher“ an; dies wirkt sich direkt auf das Vertrauen der Nutzer aus.
Eine unsichere Website mindert die Bereitschaft der Besucher, auf der Seite zu bleiben; insbesondere Nutzer, die Formulare ausfüllen oder Zahlungen vornehmen, verlassen die Seite möglicherweise, ohne den Vorgang abzuschließen, wenn sie die Warnung „Nicht sicher“ sehen. Dies ist ein Vertrauensproblem, das sich direkt auf die Konversionsrate auswirkt.
Zudem funktionieren die meisten modernen Browserfunktionen (z. B. Standortdienste, Benachrichtigungen, bestimmte Zahlungs-APIs) ausschließlich über HTTPS; eine Website, die weiterhin HTTP nutzt, kann diese Funktionen überhaupt nicht nutzen und wird technisch gesehen zunehmend eingeschränkt.
Wie lässt sich das beheben?
- Installieren Sie ein gültiges SSL-Zertifikat auf Ihrer Website und sorgen Sie für eine automatische Verlängerung, um ein Ablaufen des Zertifikats zu verhindern.
- Leiten Sie alle HTTP-Anfragen mit einer 301-Weiterleitung auf die HTTPS-Version um.
- Beheben Sie Warnungen wegen gemischter Inhalte (mixed content): Stellen Sie sicher, dass alle Bilder, Skripte und CSS-Dateien auf der Seite über HTTPS geladen werden; andernfalls kann der Browser die Seite als „teilweise sicher“ kennzeichnen.
- Fügen Sie nach Möglichkeit einen HSTS-Header (HTTP Strict Transport Security) hinzu, um den Browser zu zwingen, immer über HTTPS auf die Website zuzugreifen.
- Reduzieren Sie Weiterleitungsketten (wie z. B. HTTP → HTTPS → www → non-www, also mehrere aufeinanderfolgende Weiterleitungen) auf einen einzigen Schritt; jede zusätzliche Weiterleitung verursacht eine kleine Verzögerung beim Laden der Seite.
- Überprüfen Sie, ob die von Drittanbieterdiensten (z. B. Bild-CDN, Formularanbieter, Chat-Widget) bereitgestellten Ressourcen ebenfalls über HTTPS bereitgestellt werden; diese sind häufig die übersehene Ursache für das Problem mit gemischtem Inhalt.
Beispiel
# .htaccess-Beispiel
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Schlechtes Beispiel: Nach der Umstellung auf HTTPS vergisst man, alte absolute HTTP-Links wie <img src="http://beispiel.de/logo.png"> auf der Seite zu aktualisieren; dies führt zu einer Warnung wegen gemischter Inhalte im Browser, auch wenn die Seite insgesamt sicher erscheint.
Häufige Fehler
- Die HTTP-Version nicht zu deaktivieren; dadurch bleibt die Website sowohl über HTTP als auch über HTTPS erreichbar, und der Inhalt wird an zwei verschiedenen Adressen dupliziert.
- Auf der Seite Bilder oder Skripte belassen, die unter HTTPS weiterhin über HTTP geladen werden (gemischter Inhalt).
- Das Ablaufen des SSL-Zertifikats zulassen; in diesem Fall kann der Browser die Website als vollständig unzugänglich anzeigen.
- Unnötige Weiterleitungsketten mit mehreren Schritten erstellen.
- Das Zertifikat nur für den Hauptdomainnamen zu erwerben und Subdomains (z. B. blog.beispiel.de) davon auszuschließen.
- In internen Links (Menü, Fußzeile, interne Verlinkungen) weiterhin alte HTTP-Adressen verwenden; dies löst bei jedem Klick eine unnötige 301-Weiterleitung aus und verlangsamt das Laden der Seite geringfügig.
- In der Sitemap und in den Canonical-Tags weiterhin auf alte HTTP-Adressen verweisen; dies sendet widersprüchliche Signale an die Suchmaschine.
- Das versehentliche Übertragen des in der lokalen Entwicklungsumgebung (localhost) verwendeten selbstsignierten Zertifikats in die Konfiguration der Produktionsumgebung; Browser erkennen solche Zertifikate nicht als vertrauenswürdig an.
- Der Bericht von Seoraporu.co kennzeichnet das Fehlen von HTTPS oder Warnungen wegen gemischter Inhalte im Abschnitt „Technische Befunde“ als vorrangig, da dies gleichzeitig Vertrauen und Leistung beeinträchtigt.