Kurze Definition: HTTPs - Hypertext Transfer Protocol Secure
HTTPS steht für Hypertext Transfer Protocol Secure und ist die verschlüsselte Version von HTTP, das SSL/TLS verwendet. Es wird für die sichere Kommunikation über das Internet oder ein Netzwerk verwendet. Das Kommunikationsprotokoll wird mit Transport Layer Security (TLS) oder früher Secure Sockets Layer (SSL) verschlüsselt. Die aufgebaute Verbindung zwischen Server und Client kann durch die Verschlüsselung nicht von Unbefugten abgehört werden. HTTPS ist derweil ein Standardprotokoll, da Verbindungen über HTTP als unsicher gekennzeichnet sind.
Unsere Reise in diesem Artikel wird uns einen tiefen Einblick in die Welt von HTTP vs. HTTPS und deren Funktionsweise geben. Ich zeige dir, wie du sicherstellen kannst, dass deine Website technische Probleme bei der Migration von einem Protokoll zum anderen übersteht. Hier ist ein kurzer Überblick des Inhalts:
Am Anfang haben SEO-Spezialisten HTTP als Protokoll genutzt, um Webseiten an eine hohe Zahl von Internetnutzern auszuliefern, damit die Informationsübertragung im öffentlichen Internet gewährleistet ist. Das Web war einfach gestrickt und Website-Migrationen fanden nur von Domain zu Domain oder von Server zu Server statt. Dabei gab es nicht allzu viel zu beachten, wenn man die üblichen Weiterleitungen einrichtete und sicherstellte, dass die Website-Migration reibungslos verlief. Doch dann kam HTTPS.
Neue Technologien bringen immer auch neue Probleme mit sich, die gelöst werden müssen, um weiterhin dieselben (oder bessere) Ergebnisse zu erzielen.
Was ist HTTP/HTTPS?
HTTP ist die Hauptmethode, mit der Daten von Webseiten über Netzwerke übertragen werden. Webseiten werden auf Servern gespeichert, die dem Client-Computer bereitgestellt werden, wenn der Benutzer darauf zugreift. Das von diesen Verbindungen zwischen Client und Server gebildete Netzwerk ist das World Wide Web.
Bei HTTP-Verbindungen gibt es allerdings ein großes Problem: Die Daten, die über eine solche Verbindung übertragen werden, sind nicht verschlüsselt. Durch dieses Klartextprotokoll besteht das Risiko, dass Angreifer die Informationen ausspionieren. Daher sollten keine Kreditkartendaten und sonstigen vertraulichen Informationen übermittelt werden, wenn du dich auf einer HTTP-Seite befindest. Online-Shopping oder gar Online-Banking sind mit einem unsicheren Protokoll nicht möglich.
HTTPS ist die Abkürzung für Hypertext Transfer Protocol Secure oder Secure Hypertext Transfer Protocol, wenn du bei der Semantik nicht spitzfindig bist. Es ist also sicheres HTTP und schützt Daten, die wir z.B. beim Login oder beim Online-Shopping übertragen. Hierfür verwendet das HTTPS-Protokoll SSL/TLS Verschlüsselungen. Mit der Integration der SSL-Verschlüsselung werden übertragene Daten somit vor Angriffen durch Dritte bewahrt.
Google hat HTTPS als einer der ersten Suchmaschinenanbieter zum Standardprotokoll im eigenen Webbrowser festgelegt. Viele Seiten, die kein SSL-Zertifikat vorweisen konnten, hat Google als unsicher eingestuft. Nutzer sollten die Seiten nur mit Vorsicht verwenden und keine sensiblen Daten teilen, da hier Gefahr vor Phising und kein Datenschutz besteht.
Die Bedeutung von HTTP und HTTPS für das WWW
HTTP oder das Hypertext Transfer Protocol bildet das Rückgrat des gesamten World Wide Web. Mit diesem Übertragungsprotokoll werden Webseiten vom Server verarbeitet, gerendert und an den Client-Browser übermittelt. HTTP ist das Mittel, mit dem der größte Teil des Webs angezeigt wird.
HTTP und HTTPS mit Verschlüsselungen verarbeiten sogenannte Anforderungen ("Requests"). Diese Anforderungen werden vom Browser des Nutzers erstellt, wenn dieser eine Interaktion mit einer Website ausführt. Dies ist ein entscheidendes Element beim Rendering von Seiten. Ohne dieses Element würden wir das heutige World Wide Web nicht in seiner bekannten Form verwenden. Durch die Authentifizierung wird Vertrauen bei potentiellen Kunden bzw. Usern geschafft.
So funktioniert es: Nehmen wir an, jemand sucht nach "wie führt man eine Website-Migration durch". Die Anfrage wird an den Server gesendet, der dann eine weitere Anfrage mit den Suchergebnissen zurücksendet. Diese Ergebnisse werden an den Empfänger zurückgespielt und auf der SERP (Search Engine Results Page - Suchergebnisseite) angezeigt, die du nach Abschluss der Suche siehst.
All dies läuft in Millisekunden ab. Dies ist jedoch nur ein sehr allgemeiner Überblick über die Funktionsweise des Hypertext Transfer Protocol.
Wieso ist HTTPs für SEO wichtig?
HTTPs ist ein Ranking Faktor und spielt wie in der SEO so auch in der Technischen SEO eine große Rolle. Mittlerweile ist HTTPs ein fester Bestandteil von Core Web Vitals und diese sind Bestandteil von dem Google Page Experience Update, welches für Mai 2021 angeküdigt wurde. Ohne HTTPs geht es weder im Web noch in SEO weiter. Nutzer die auf eine Seite ohne SSL-Verschlüsselungen klicken, springen nach wenigen Sekunden ab, da der Datenverkehr nicht verschlüsselt wird. Zudem werden von Google Webseiten mit SSL-Verschlüsselungen besser eingestuft.
Was HTTP und HTTPS für das WWW bedeuten
HTTP oder das Hypertext Transfer Protocol bildet das Rückgrat des gesamten World Wide Web. Mit diesem Protokoll werden Webseiten vom Server verarbeitet, gerendert und an den Client-Browser übermittelt. HTTP ist das Mittel, mit dem der größte Teil des Webs angezeigt wird.
HTTP und HTTPS verarbeiten sogenannte Anforderungen ("Requests"). Diese Anforderungen werden vom Browser des Nutzers erstellt, wenn dieser eine Interaktion mit einer Website ausführt. Dies ist ein entscheidendes Element beim Rendering von Seiten. Ohne dieses Element würden wir das heutige World Wide Web nicht in seiner bekannten Form verwenden.
So funktioniert es: Nehmen wir an, jemand sucht nach "wie führt man eine Website-Migration durch". Die Anfrage wird an den Server gesendet, der dann eine weitere Anfrage mit den Suchergebnissen zurücksendet. Diese Ergebnisse werden auf der SERP (Search Engine Results Page - Suchergebnisseite) angezeigt, die du nach Abschluss der Suche siehst.
All dies läuft in Millisekunden ab. Dies ist jedoch nur ein sehr allgemeiner Überblick über die Funktionsweise des Hypertext Transfer Protocol.
Was ist HTTP?
HTTP ist die Hauptmethode, mit der Daten von Webseiten über Netzwerke übertragen werden. Webseiten werden auf Servern gespeichert, die dem Client-Computer bereitgestellt werden, wenn der Benutzer darauf zugreift. Das von diesen Verbindungen zwischen Client und Server gebildete Netzwerk ist das World Wide Web.
Bei HTTP-Verbindungen gibt es allerdings ein großes Problem: Die Daten, die über eine solche Verbindung übertragen werden, sind nicht verschlüsselt. So besteht das Risiko, dass Angreifer die Informationen ausspionieren. Daher sollten keine Kreditkartendaten und sonstigen vertraulichen Informationen übermittelt werden, wenn du dich auf einer HTTP-Seite befindest. Online-Shopping oder gar Online-Banking sind mit einem unsicheren Protokoll nicht möglich.
Was ist HTTPS?
HTTPS ist die Abkürzung für Hypertext Transfer Protocol Secure oder Secure Hypertext Transfer Protocol, wenn du bei der Semantik nicht spitzfindig bist. Es ist also sicheres HTTP.
Wie funktioniert HTTPS?
Im Gegensatz zu HTTP verwendet HTTPS ein sicheres Zertifikat eines Drittanbieters, um die Verbindung zwischen dem Server der Website und auch dem Gerät des Nutzers zu sichern und zu überprüfen, ob die Website legitim ist. Dieses sichere Zertifikat wird als SSL-Zertifikat (oder kurz "cert") bezeichnet, was im Klartext den sicheren Datenverkehr auf einer Website sichert.
Die Zertifizierungsstelle bei HTTPS nennt sich SSL und ist eine Abkürzung für "Secure Sockets Layer". Dies ist ein Verschlüsselungsprotokoll, durch das bei HTTPS eine sichere Verbindung zwischen einem Browser und einem Server hergestellt wird, die die Kommunikation sowie den Datenaustausch zwischen beiden schützt.
Das Zertifikat sorgt für eine verschlüsselte Übertragung mit einer Schutzstufe, die beim Kauf des SSL-Zertifikats festgelegt wurde. Anders wie bei HTTP wird mit HTTPS die Authentifizierung und Vertrauenswürdigkeit einer Website verstärkt. Dies wirkt sich positiv auf dein Ranking in der Suchmaschine aus.
Ein SSL-Zertifikat bietet eine zusätzliche Sicherheitsebene für vertrauliche und sensible Daten, die vor Attacken von Angreifern und sonstigen Außenstehenden geschützt sein sollen. Diese zusätzliche Sicherheit kann beim Ausführen von E-Commerce-Websites äußerst wichtig sein.
Anwendungsbeispiele:
- Wenn du die Übertragung von Kreditkartendaten oder anderen vertraulichen Informationen (z. B. der Adresse und Identität einer Person) absichern willst, ist HTTPS ein absolutes Muss.
- Wenn du eine Website zur Lead-Generierung betreibst, die persönliche Daten der Nutzer verarbeitet, solltest du unbedingt HTTPS verwenden, um diese Daten vor böswilligen Angriffen zu schützen.
HTTPS bietet viele Vorteile zu einem geringen Preis. Ohne Zertifikat können Dritte eine Verbindung leicht nach vertraulichen Daten scannen und somit können Daten entschlüsselt werden.
HTTP vs. HTTPS Vergleich
Was ist TLS und wie hängt es mit HTTPS zusammen?
TLS steht für Transport Layer Security. Das Verschlüsselungsprotokoll hilft bei der Verschlüsselung von HTTPS und kann zum Sichern von E-Mails und anderen Protokollen sowie dem generellen sicheren Datenaustausch im Web verwendet werden. Anhand kryptografischer Techniken stellt es sicher, dass Daten nach dem Versand nicht manipuliert wurden, dass die Kommunikation mit der richtigen Person stattfindet und dass keine privaten Daten sichtbar sind.
Der Prozess beginnt mit einem TLS-Handshake, der eine Kommunikationssitzung mit TLS-Verschlüsselung startet. Hier findet die Authentifizierung statt und es werden Sitzungsschlüssel erstellt. Wenn zwei Geräte miteinander kommunizieren, werden durch die Verbindung beider Schlüssel brandneue Sitzungsschlüssel generiert. Das Ergebnis von diesem Verfahren ist eine stärker verschlüsselte Verbindung. Bei den Versionen bevorzugen die meisten Webbrowser und Webserver TLS 1.3 und TLS 1.2. Ältere Versionen wie TLS 1.1 und TLS 1.0 werden zwar noch unterstützt aber führen zur einer Sicherheitswahrung aufgrund Sicherheitslücken. Für Browserinstallationen wird überwiegend die Version TLS 1.2 unterstützt.
Funktionsweise TLS-Handshake
Unten siehst du einige Fehler, vor denen Google warnt.
Die Authentifizierung des Webservers – entscheidend für eine sichere HTTPS-Verschlüsselung
Der wichtigste Schritt für eine sichere HTTPS-Verbindung besteht darin, sicherzustellen, dass ein Webserver der ist, für den er sich ausgibt.
Daher ist das SSL-Zertifikat der wichtigste Teil des Setups. Es funktioniert so ähnlich wie ein Führerschein - es bestätigt die Identität des Server-Betreibers.
HTTPS baut Vertrauen bei den Nutzern auf
Ein großer Zusatznutzen von HTTPS ist, dass es dir dabei hilft, das Vertrauen deiner Website-Besucher zu gewinnen. Wenn du eine E-Commerce-Website betreibst, die Kreditkartenzahlung akzeptiert, gibt das kleine Vorhängeschloss in der Adresszeile des Webbrowsers den Kunden die Gewissheit, dass ihre Daten nicht in falsche Hände geraten.
Dadurch ist es für Nutzer viel leichter, deiner Website zu vertrauen, als wenn diese nicht gesichert wäre - und moderne Browser zeigen beim Verbindungsaufbau eine Warnung, wenn Sites "nicht sicher" sind.
So trägt HTTPS auch zum Schutz deiner Online-Reputation bei. Wenn Sicherheitslücken auf deiner Website bekannt werden und wichtige Daten nach außen dringen, wird niemand deine Website benutzen wollen. Dies kann deinen Ruf irreparabel beschädigen und langfristig sehr teuer werden. Die Nachteile von unverschlüsselten Seiten sind also enorm. Aber braucht wirklich jeder so einen Schlüssel?
Gibt es Ausnahmen für HTTP?
Heutzutage gibt es nicht mehr viele Anbieter, die noch nicht auf HTTPS umgestellt haben. Für manche mag es sogar sinnvoll sein, es nicht zu tun – wenn deine Website keine wichtigen Nutzerdaten verarbeitet, ist die erhöhte Sicherheitsstufe vielleicht nicht nötig.
John Mueller von Google hat bestätigt, dass HTTPS ein leichter Ranking-Faktor ist. Das heißt, HTTPS bringt an sich keinen großen Ranking-Vorteil, aber eine HTTPS-Seite gewinnt im direkten Wettbewerb zu einer sonst identischen HTTP-Seite. Da aber andere Faktoren schwerer wiegen können, lassen sich mit HTTP-Seiten immer noch Rankings gewinnen.
SEO und Website-Migration von HTTP auf HTTPS
Bei der Website Migration bietet der Wechsel von HTTP zu HTTPS aus SEO-Sicht viele Vorteile. Wenn du mit dem Prozess allerdings nicht vertraut bist, kannst du damit auch Schaden anrichten. Lerne wie du von HTTP auf HTTPS umleiten kannst. Voraussetzung für eine Umstellung von HTTP auf HTTPS ist ein gültiges SSL-Zertifikat.
Du musst Google über den Übergang informieren. Des weiteren solltest du das bestgeeignete Zertifikat für deine Situation auswählen, die Google Search Console und Google Analytics einrichten, interne Links aktualisieren und alle relativen URLs aktualisieren. Schauen wir uns diese Schritte genauer an.
Google über die Umstellung informieren und Fehler vermeiden
In diesem Schritt richten wir ein weiteres Profil bzw. eine neue Property in der Google Search Console an. Deaktiviere nicht deine bestehenden Propertys für die HTTP-Website. Lasse alle Profile aktiv, richte ein neues für die HTTPS-Version deiner Website ein und stelle sicher, dass weiterhin Daten erfasst werden.
Stelle auch dein Profil in Google Analytics auf die sichere Version deiner Website um. Sonst werden nicht die richtigen Daten erfasst.
Vergiss nicht, gegebenenfalls auch die Datenerfassungsparameter im Google Tag Manager zu aktualisieren. Wenn du die Bing Webmaster-Tools verwendest, musst du auch hier während der Migration von HTTP auf HTTPS umstellen.
Du würdest staunen, wie oft ich bei Migrationen von HTTP auf HTTPS auf Fehler stoße, die dadurch auftreten, dass Entwickler zu Beginn des Prozesses nicht alles Wichtige im Blick hatten und entscheidende Tracking-Profile nicht aktualisiert haben.
Diese Fehler können dazu führen, dass zu wenig oder zu viel an Daten in den Berichten auftauchen. Beides kann zu verheerenden Fehlentscheidungen über deine SEO-Strategie führen.
Das richtige Sicherheitszertifikat wählen: SSL- und Wildcard-Zertifikate
SSL-Zertifikate gibt es für verschiedene Zwecke. Ein Zertifikat für eine einzelne Domain, ein anderes für mehrere Domains, und dann gibt es noch Wildcard-Zertifizierungen. Für die Verschlüsselung von kleineren Websites ist meist kein vollständiges Wildcard-Zertifikat nötig. Es kann dir jedoch das Leben erheblich erleichtern, wenn es darum geht, die URL-Syntax über mehrere Websites hinweg im Griff zu behalten.
Ein SSL-Zertifikat für eine einzelne Domain wird für eine Subdomain oder die Domain selbst ausgestellt. Mit einem SSL-Zertifikat für mehrere Domains kannst du die Hauptdomain und bis zu 99 alternative Domains (SANs oder Subject Alternative Names) absichern.
Mit dem Wildcard-Zertifikat kannst du deine eigentliche Website-URL und alle damit verbundenen Subdomains sichern. Das heißt: Wenn du domain.hauptdomain.de einrichtest und hauptdomain.de mit einem Wildcard-Zertifikat gesichert ist, ist auch die Subdomain automatisch sicher. Du musst keine weiteren Maßnahmen ergreifen, damit sich die Subdomain in die vorhandene Sicherheitsarchitektur deiner Website einfügt. Das kann dir viele Kopfschmerzen ersparen.
Das Wildcard-Zertifikat ist hier der klare Gewinner. Als robustes Zertifikat mit vielen verschiedenen Funktionen kostet es jedoch auch mehr, sodass du die zusätzlichen Geschäftskosten gegen die Vorteile abwägen musst, die es dir bringt.
Stelle sicher, dass alle URLs der Website aktualisiert werden
Wenn du deine Website gut pflegst, kannst du diesen Schritt überspringen. Hier geht es darum, sicherzustellen, dass alle Inhalte deiner Website mit dem richtigen Protokoll verlinkt werden und somit sicher sind. Vergiss auch nicht deine XML-Sitemap!
Du würdest staunen, wie viele Audits ich auf Websites durchgeführt habe, die diesen Schritt versäumt haben - sicherzustellen, dass alle Links auf die HTTPS-Version verweisen und alle Inhalte sicher sind.
Es spielt keine Rolle, ob du relative oder absolute URLs verwendest, solange du diese auf der Website aktuell hältst. Wenn deine Website absolute URLs nutzt, kannst du diese mit Suchen und Ersetzen in deiner Datenbank aktualisieren und so Probleme mit gemischten Inhalten vermeiden.
Stelle sicher, dass alle deine URLs nach der Umstellung mit https:// beginnen und keine Probleme auftreten.
Hindere Google nicht am Crawlen deiner neuen HTTPS-Website
Du musst sicherstellen, dass deine Robots.txt das Crawlen aller Elemente zulässt. Sofern kein besonderer Grund dagegen spricht, zum Beispiel ein bestimmter Ordner, der nicht indexiert werden soll, ist es sinnvoll, das Crawlen der gesamten Website zuzulassen, einschließlich CSS- und JS-Dateien. Wenn deine Website das Rendern von CSS- und JS-Dateien nicht zulässt, können Probleme auftreten.
Wenn du das Rendern eines wesentlichen CSS- oder JS-Elements auf deiner Seite nicht zulässt, versteht Google womöglich den gesamten Kontext der Seite nicht, was aber Voraussetzung ist, um hohe Rankings zu erreichen. In etwa 99 % der Fälle gibt es keinen Grund, CSS- oder JS-Dateien vom Crawlen auszuschließen.
Das Site Audit von Semrush bietet dir viele hilfreiche Informationen zu deiner HTTPS-Implementierung. Es zeigt dir alle Probleme auf und gibt Empfehlungen zur Behebung.
Überprüfe alles während der Migration
Eine kontinuierliche Überwachung deiner Website ist entscheidend, um die Migration auf HTTPS erfolgreich durchzuführen. Überprüfe Google Search Console, Google Analytics und alle anderen Reporting-Anwendungen, die du nutzt. Wenn du noch nicht http:// auf https:// aktualisiert hast, hole dies so bald wie möglich nach, um weitere Probleme zu vermeiden, die ernsthaft deine SEO-Bemühungen sabotieren können.
HTTP vs. HTTPS - was ist besser?
Wenn du dich mit SEO nicht gut auskennst, kann es frustrierend sein, die komplizierten Details zu sortieren, die bei der Entscheidung für ein sicheres oder ein unsicheres Protokoll eine Rolle spielen. Websites verwenden üblicherweise das HTTP-Verfahren. Werden auf der Website persönlichen Daten ausgetauscht, wie zum Beispiel das Bezahlen mit Online Banking, dann sollte unbedingt ein SSL-Zertifikat vorhanden sein. Sensible Daten sollten immer verschlüsselt sein.
Folgende Fragen können dir dabei helfen, wenn es darum geht sich für das HTTPS- oder HTTP-Verfahren zu entscheiden:
Betreibst du einen Online-Shop, der Kreditkartendaten und andere persönliche Informationen verarbeitet? Dann ist eine Sicherung deiner Website per HTTPS die beste Wahl. Sie hilft dabei, deinen Kunden guten Willen und Vertrauenswürdigkeit zu vermitteln, während du sicherstellst, dass du Angreifern im Web keine offene Flanke bietest. Deiner Online-Reputation kommt es ebenfalls zugute. Der Kunde brauch demnach keine Sorge vor Datenklau durch Dritte haben.
Was ist, wenn du keinen Online-Shop betreibst, aber deine Seite dennoch persönliche Daten verarbeitet (z. B. zur Lead-Generierung)? Auch dann solltest du HTTPS implementieren. Menschen verlassen sich darauf, dass Webseiten sicher und ihre persönlichen Daten geschützt sind. HTTPS verleiht deinem Unternehmen mehr Vertrauenswürdigkeit und Legitimität. Ein Klau von persönlichen Daten kann zu Identitätsklau führen, deshalb wird hier dringend die Verschlüsselung durch HTTPS empfohlen.
Solltest du die kostenlose Option von Let's Encrypt verwenden? Kommt darauf an. Fängst du gerade erst an und hast kein Budget für Onlinesicherheit? Dann ist Let's Encrypt eine gute Option. Für größere Unternehmen ist eher eine teurere Option wie GeoTrust oder Comodo zu empfehlen. Beide erfüllen bei richtiger Implementierung denselben Zweck.
Ob du bei HTTP bleibst oder zu HTTPS wechselst, liegt bei dir. HTTPS ist auf jeden Fall ein wundervoller Beitrag zu mehr Datensicherheit im WWW.