de
English Español Deutsch Français Italiano Português (Brasil) Русский 中文 日本語
Artikel schreiben
Gehe zu blog

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie

66
Wow-Score
Der Wow-Score zeigt, wie interessant ein Blog-Beitrag ist. Berechnet wird er anhand der Korrelation zwischen der aktiven Lesezeit von Benutzern, der Geschwindigkeit, mit der sie scrollen, und der Länge des Artikels.

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie

Dieser Beitrag ist auf Deutsch
Elena Terenteva
Dieser Beitrag ist auf Deutsch
Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie

Eine Umstellung Ihrer Website auf HTTPS ist nicht nur ein netter SEO-Bonus und sollte nicht Großunternehmen vorbehalten bleiben. Vielmehr ist sie ein absolutes Muss für Webseiten aller Art. Der Umfang verschlüsselten Traffics nimmt jährlich zu: Laut Firefox Telemetry wurde am 29. Januar 2017 erstmals die Hälfte des gesamten Internettraffics gesichert übertragen.

Die Bedeutung dieses Wendepunkts kann kaum überschätzt werden.
sagt Ross Schulman, Ko-Direktor der Initiative für Cybersecurity bei der New America Foundation.

— https://www.wired.com/2017/01/half-web-now-encrypted-makes-everyone-safer/

Wenn Ihre Website immer noch zur „dunklen Seite“ gehört, sollten Sie Ihre Haltung zum verschlüsselten Datentransfer überdenken. In unserem vorangehenden Artikel haben wir den Einfluss und die Bedeutung von HTTPS aufgezeigt. HTTPS ist ein Rankingsignal, erhöht das Vertrauen auf Benutzerseite und bietet sicheren Schutz Ihrer Website-Daten vor Cyber-Angriffen.

Daran anknüpfend beschäftigen wir uns heute mit häufigen Fehlern, die bei der HTTPS-Implementierung passieren, und zeigen Wege auf, sie zu beheben oder am besten ganz zu vermeiden. Wenn Sie bereits auf HTTPS umgestellt haben oder dies planen, hilft Ihnen dieses Wissen, die häufigsten Stolperfallen zu umgehen.

Fehler bei der HTTPS-Implementierung

Die statistischen Daten dieses Artikels wurden durch eine Studie mit Hilfe des Site Audit von SEMrush gewonnen. Wir haben anonyme Daten von 100.000 Webseiten gesammelt, um herauszufinden, wie häufig Fehler bei der HTTPS-Implementierung vorkommen. Das Wichtigste zuerst: Nur 45% der analysierten Webseiten unterstützen HTTPS. Alle Daten zur Häufigkeit der HTTPS-Fehler wurden bei der Analyse dieser abgesicherten Domains gewonnen.

Google hat mit großer Klarheit einige HTTPS-Stolperfallen aufgezeigt, die Sie unbedingt vermeiden sollten. Sehen wir sie uns näher an, um uns klarzumachen, wie es zu diesen Fehlern kommt.  

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie. Image :n

HTTPS implementieren mit SEMrush

ist Ihre Website sicher?

Bitte geben Sie eine korrekte Domain ein.

Unsichere Seiten mit Passworteingabe

Ab Januar 2017 (Chrome 56) werden wir HTTP-Webseiten, die Passwörter oder Kreditkarten-Daten übertragen, als nicht sicher markieren. Das ist Teil unseres langfristigen Plans, alle HTTP-Seiten als nicht sicher zu markieren. 
Google Security Blog - Moving towards a more secure web

— https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Um die Häufigkeit dieses Fehlers festzustellen, haben wir alle 100.000 Domains analysiert, da Google bei der Markierung als ‚nicht sicher‘ strenge Kriterien anlegt: Jede Seite mit Passwortabfrage sollte verschlüsselt übertragen werden. Wir hoffen, dass diese Initiative von Google eine schnellere Ausbreitung von HTTPS bewirkt. Aktuell beinhalten immer noch 9% der analysierten Websites unsichere Seiten mit Passwortabfrage.

Probleme in der Website-Architektur

Gemischte Inhalte

Gemischte Inhalte bedeutet, dass eine Seite über sicheres HTTPS lädt, aber Elemente (Bilder, Links, IFrames, Skripte u.a.) enthält, die nicht mit HTTPS abgesichert sind.

Dadurch entstehen Sicherheitslücken. Außerdem warnen Browser ihre Benutzer vor den unsicheren Inhalten. Dies beeinflusst die Nutzererfahrung negativ und schadet dem Vertrauen, das die Besucher in Ihre Website setzen.

Dieses Problem kommt häufiger vor, als Sie vielleicht denken — 50% der analysierten Websites sind davon betroffen. Leider ist es sehr zeitaufwändig, die Implementierungslücken bei gemischten Inhalten manuell zu analysieren. Da eine Website Hunderte von Seiten beinhalten kann, sind gemischte Inhalte als Fehlermeldung ein echtes Problem.

Interne Links einer HTTPS-Site führen auf HTTP-Seiten

Alle internen Website-Links, Bilder, Skripte usw. sollten auf HTTPS-Versionen verweisen. Das ist äußerst wichtig, insbesondere, wenn keine Redirects implementiert sind oder HSTS nicht unterstützt wird (siehe unten). In jedem Fall sind direkte Links auf die HTTPS-Version der Inhalte besser als Redirects. Veraltete HTTP-Links sind einer der häufigsten Fehler, die sich bei der Umstellung auf HTTPS einschleichen. Vielleicht sind sie sogar das größte Problem, weil es bei einer hohen Anzahl von Seiten sehr zeitaufwändig zu analysieren ist – 50% der von uns geprüften Seiten weisen dieses Problem auf.

Keine Redirects oder Canonicals auf HTTPS-URLs (die Website ohne HSTS)

Wenn Sie Ihre Website von HTTP auf HTTPS umstellen, ist es wichtig, Canonical-Seiten korrekt umzuleiten. Dies aus mehreren Gründen: vor allem natürlich, um Ihren Besuchern eine stabile, sichere Nutzererfahrung zu bieten. Darüber hinaus bringen Sie vielleicht Ihr SEO durcheinander, wenn auf Ihren HTTP-Seiten der Verweis auf die HTTPS-Versionen fehlt. Suchmaschinen können dann nicht entscheiden, welche Seite sie auslesen und in den Suchergebnissen priorisieren sollen. Daraus können sich viele Probleme ergeben, zum Beispiel miteinander konkurrierende Seiten, Einbußen an Traffic und schlechtere Platzierungen in den Suchergebnissen.

Richtig umgesetzte Redirects oder Canonical-Tags können Ihre Positionen verbessern, indem sie alle Signale sinnvoll verbinden.

Davon nicht betroffen sind Websites, die HSTS benutzen, weil diese im Browser unterbinden, dass Daten per HTTP übertragen werden. Daher haben wir diese Seiten nicht in die Studie einbezogen. Nach Ausschluss der HSTS-Seiten haben wir festgestellt, dass auf 8% der verbliebenen Websites die HTTP-Startseite nicht auf die richtige HTTPS-Version verweist. Und das sind nur die Startseiten! Man kann sich ausmalen, wie viele weitere Seiten dieser Präsenzen nicht richtig umgeleitet wurden.

HTTP-URLs in der sitemap.xml

Auch zu diesem Fehler kann es bei der Umstellung auf HTTPS leicht kommen.

Damit Google nicht irrtümlich die HTTP-Seite als canonical setzt, sollten Sie vermeiden, die HTTP-Seite anstelle der HTTPS-Version in Ihre Sitemap oder hreflang-Einträge aufzunehmen.

Obwohl dies eine klare Anforderung ist, weisen immerhin 5.5% der ausgewerteten Websites diesen Fehler auf. Wenn Sie auf HTTPS umstellen, müssen Sie keine zusätzliche sitemap.xml-Datei für HTTPS erstellen — ändern Sie einfach das Protokoll in der Sitemap auf HTTPS.

Um beim Umzug auf HTTPS alles richtig zu machen, halten Sie sich an diesen Leitfaden von Fili Wiese: All you need to know for moving to HTTPS.  

Fehler beim Sicherheitszertifikat

Abgelaufenes SSL-Zertifikat

Ein SSL-Zertifikat (SSL steht für Secure Socket Layer) dient zur Herstellung einer sicheren Verbindung zwischen Server und Browser und schützt Ihre Website-Daten vor Diebstahl. Bei Unternehmen, die mit vertraulichen Kundendaten wie Kreditkartennummern umgehen, birgt ein abgelaufenes SSL-Zertifikat das Risiko von Vertrauensverlusten. Beim Aufrufen der Website wird eine Warnung angezeigt, die natürlich die Absprungrate in die Höhe treibt. Im Rahmen unserer Studie fanden wir auf 2% der untersuchten Websites abgelaufene SSL-Zertifikate.

SSL-Zertifikat auf ungültigen Domainnamen registriert

Diese Fehlermeldung erscheint, wenn der Domainname in der Adresszeile des Browsers nicht mit demjenigen übereinstimmt, für den Ihr SSL-Zertifikat ausgestellt wurde. Dieses Problem stellten wir bei 6% der analysierten Websites fest.

Warum kommen ungültige Zertifikate dieser Art häufiger vor als abgelaufene? Das erklärt sich durch das verbreitete Missverständnis, dass ein SSL-Zertifikat für eine Domain (beispiel.de) auch für Subdomains (info.beispiel.de) gelte. Dies ist nämlich nicht der Fall. Der Fehler kann daher auch auftauchen, wenn das Zertifikat korrekt installiert wurde. Wenn es etwa für www.beispiel.de ausgestellt wurde, führt die Eingabe von beispiel.de (ohne www) zur richtigen Seite, löst aber die Fehlermeldung aus.

Das Problem lässt sich mit einem Multi-Domain-Zertifikat lösen, das Sie für mehrere Domainnamen oder IP-Adressen nutzen können. Dabei ist zu beachten, dass unqualifizierte Namen (www), lokale Adressen (localhost) und private IP-Adressen die Spezifikationen des Zertifikats verletzen.

Server-Probleme

Server unterstützt kein HSTS (HTTP Strict Transport Security)

Das HSTS-Protokoll teilt Webbrowsern mit, dass sie nur durch sicheres HTTPS mit dem Server kommunizieren können. Nehmen wir an, ein Nutzer tippt einen Namen wie http://beispiel.de in die Adresszeile ein. Dann gibt HSTS dem Browser die Anweisung, die HTTPS-Version zu nutzen.

HSTS bietet Schutz vor Downgrade-Angriffen und Cookie-Hijacking. Dadurch werden Nutzer vor Man-in-the-Middle-Angriffen geschützt.

Ein Man-in-the-Middle-Angreifer versucht, Traffic vom betroffenen Nutzer abzufangen, indem er ein ungültiges Zertifikat benutzt und darauf hofft, dass der Nutzer dieses akzeptiert. HSTS erlaubt es dem Nutzer nicht, die Warnmeldung wegen des ungültigen Zertifikats zu übergehen.

— https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

86% der analysierten Websites unterstützen kein HSTS. Das ist keine Überraschung – die Technologie ist recht neu und auch die Browser beachten sie erst seit relativ kurzer Zeit. Im kommenden Jahr sehen wir hier hoffentlich ein anderes Bild und einen positiven Trend.

Alte Versionen des Sicherheitsprotokolls (TLS 1.0 oder älter)

Die Sicherheitsprotokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL), die eine sichere Verbindung zwischen Website und Browser herstellen, müssen regelmäßig auf die aktuellen, starken Versionen aktualisiert werden - 1.1 oder höher. Das ist ein Muss, ohne Wenn und Aber. Veraltete Protokollversionen machen es Angreifern sehr leicht, Ihre Daten zu stehlen. Obwohl dieser Fehler kritisch ist, haben wir ihn auf 3,6% der analysierten Websites gefunden. Auch Unternehmen, die sich rechtzeitig um die Verlängerung ihrer Sicherheitszertifikate bemühen, können vergessen, ihre Protokollversionen zu aktualisieren. Denken Sie also daran, den Stand Ihrer Website regelmäßig zu überprüfen.

Keine Unterstützung für Server Name Indication (SNI)

Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls, mit der Sie mehrere Server mit verschiedenen Zertifikaten unter einer IP-Adresse betreiben können. SNI löst das Problem, über das wir oben sprachen: die Registrierung eines SSL-Zertifikats auf einen falschen Domainnamen. Wenn Sie eine neue Subdomain erstellt haben, erhalten Besucher eine Warnmeldung, weil das SSL-Zertifikat nur für die Root-Domain gilt. Dabei ist es schwierig bis unmöglich, alle denkbaren Namen vorherzusehen. SNI kümmert sich darum und verhindert den Fehler.

SNI einzusetzen ist aber optional. Dementsprechend fanden wir SNI-Fehler auf nur 0.56% der analysierten Webseiten.

Der SEMrush-Bericht zur HTTPS-Implementierung

Alle hier dargestellten Fehler und Probleme lassen sich mit dem Bericht zur HTTPS-Implementierung von SEMrush aufspüren – eine neue Berichtsfunktion innerhalb des Site Audit von SEMrush. An dieser Stelle noch ein paar Worte darüber, wie dieser Bericht technisch funktioniert und Ihnen hilft, alle HTTPS-Stolperfallen zu vermeiden.

Wenn er ein abgelaufenes SSL-Zertifikat feststellt, zeigt Ihnen der Bericht zur HTTPS-Implementierung nicht nur den Status „abgelaufen“, sondern auch das Datum des Ablaufens. Darüber hinaus informiert er Sie über demnächst ablaufende Zertifikate und hilft Ihnen so, dieses Problem zu vermeiden.

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie. Image :n

Wenn ein Zertifikat auf einen falschen Domainnamen registriert ist, zeigt Ihnen der Bericht die Subdomain, für die das Zertifikat ausgestellt wurde. So kommen Sie dem Problem schnell auf die Spur.

Da wir gerade über Server-Probleme sprechen: Der Bericht liefert Ihnen vollständige Informationen über die genaue Subdomain, deren Sicherheitsprotokoll aktualisiert werden muss (unter Angabe der aktuellen Version) oder die HSTS- und SNI-Unterstützung benötigt.

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie. Image :n

Was die Probleme mit der Website-Architektur betrifft, ist die Prüfung auf gemischte Inhalte eines der interessantesten Features des Berichts. Dieser zeigt Ihnen eine vollständige Liste unsicherer HTTP-Elemente aller Art, die auf Ihrer Website gefunden wurden. Da die manuelle Prüfung auf gemischte Inhalte extrem zeitaufwändig ist, wird sich diese Funktion sicher für viele als große Hilfe erweisen.

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie. Image :n

Alle gefundenen Fehler werden mit einer Einstufung der Dringlichkeit angezeigt. Diese hilft Ihnen, Prioritäten zu setzen und die gefährlichsten Probleme zuerst zu beheben, bevor Sie sich die weniger wichtigen vornehmen.

Die 10 häufigsten Fehler bei der HTTPS-Implementierung: SEMrush-Studie. Image :n

Mit dieser neuen Erweiterung, der hohen Analysegeschwindigkeit, den 50 zusätzlichen Tests fürs Onpage- und technische SEO sowie der benutzerfreundlichen Oberfläche ist das Site Audit von SEMrush eines der mächtigsten Website-Audits auf dem Markt und definitiv das beste innerhalb der bekannten SEO-Suites.

Was meinen Sie? Lassen Sie uns wissen, was Sie von dem neuen Bericht halten! Welche HTTPS-Fehler haben Ihnen die größten Schwierigkeiten bereitet und wie haben Sie sie gelöst?

Elena Terenteva
SEMrush

SEMrush employee.

Elena Terenteva, Product Marketing Manager at SEMrush. Elena has eight years public relations and journalism experience, working as a broadcasting journalist, PR/Content manager for IT and finance companies.
Bookworm, poker player, good swimmer.
Diesen Beitrag teilen
oder

Dein Kommentar

2000
Newcomer

Ist entweder gerade erst Mitglied geworden oder ist zu schüchtern, etwas zu sagen.

Warum zeigt mir semrush an: "HTTPS ist auf dieser Website nicht implementiert."?
In der Log Datei steht, dass er per HTTP meine Website aufruft und dann per 301 Moved Permanently auf die HTTPS Seite weitergeleitet wird. Dort kommt ein 200 OK und der entsprechende HTML Code.
Warum erkennt semrush das nicht an und bringt Fehlermeldungen?
"Crawler konnte nicht auf die Webseite zugreifen, weil der Server einen Timeout hatte oder die Verbindung verweigert/geschlossen hat, ohne dem Crawler zu antworten."
Evgeni Sereda
SEMrush

SEMrush employee.

Mathias Peter
Hallo Mathias!
Gerne würde ich deine Frage beantworten. Ohne die Webseite ist es ledier nicht möglich. Damit es noch schneller geht und du gleich bei der richtigen Stelle fragst, bitte ich dich, eine Mail an [email protected] zu schicken. Bitte gebe unbedingt die Projektbezeichnung an und die Mail, mit der du bei SEMrush registriert bist.
Lass mich bitte wissen, ob deine Frage beantwortet wurde ([email protected]).

Viele Grüße

Evgeni Sereda

Feedback absenden

Your feedback must contain at least 3 words (10 characters).

Wir nutzen Ihre E-Mail ausschließlich zur Reaktion auf Ihr Feedback. Datenschutzbestimmungen

Thank you for your feedback!

Community-Rangsystem

Ihr SEMrush-Community-Rang zeigt Ihre fachliche Anerkennung in unserer Community. Wir schätzen hochwertige Beiträge. Daher erhalten Mitglieder mit hohen Rängen wertvolle Belohnungen. Nehmen Sie an Diskussionen teil, schreiben Sie Beiträge, und sprechen Sie in Webinaren, seien Sie freundlich und hilfsbereit, dann werden Sie eines Tages ganz oben auf dem Treppchen stehen.

  • Newcomer
    Ist entweder gerade erst Mitglied geworden oder ist zu schüchtern, etwas zu sagen.
  • Fan
    Nimmt ab und zu an Unterhaltungen teil.
  • Helfer
    Ein erfahrenes Mitglied, das immer bereitwillig hilft.
  • Meister
    Ein altgedientes Community-Mitglied.
  • Profi
    Stellt hervorragende Fragen und gibt brillante Antworten.
  • Experte
    Trägt wertvolle Einblicke bei und gibt der Unterhaltung Tiefgang.
  • Guru
    Ein Weiser des digitalen Marketings.
  • Superstar
    Weiß alles ... naja, fast alles.
  • Legende
    Es hierhin zu schaffen, ist ganz und gar nicht leicht!