Webseite und Online-Shop auf HTTPS umstellen
Ob der massenhafte Diebstahl von E-Mail-Daten oder die beispiellosen Enthüllungen des ehemaligen US-Geheimdienstagenten Edward Snowden: All diese Schlagzeilen haben in jüngster Zeit ein Thema wieder in den Vordergrund gerückt, das lange Zeit erfolgreich verdrängt wurde: die Sicherheit und Vertraulichkeit von Daten im Internet. Wird der Datenverkehr im Netz über unverschlüsselte Verbindungen vermittelt, sind Websites und Online-Shops für Angreifer anfällig wie offene Bücher. Gerade dann, wenn zwischen Website und Browser des Nutzers sensible Daten wie beispielsweise die Kreditkartennummer oder ein Passwort übertragen werden, hat Sicherheit oberste Priorität. Aber nicht nur bei der Eingabe der Kreditkartennummer oder dem Login spielt Datenschutz eine Rolle: Dritten sollte es prinzipiell auch nicht möglich sein herauszufinden, wann ich mich wo auf welchen Seiten aufgehalten habe.
Ein Fachartikel von Martin Stäbe
Sprachen vor einigen Jahren noch die zum Teil deutlich geringere Performance sowie mögliche negative Auswirkungen auf die Suchmaschinenoptimierung gegen die Komplettverschlüsselung eines Online-Shops, hat sich die Situation dank des technologischen Fortschritts mittlerweile gewandelt. Aufgrund gestiegener Bandbreiten spielen geringfügig höhere Latenzzeiten bei verschlüsselten Verbindungen kaum noch eine Rolle. Die Umstellung auf eine Verschlüsselung per SSL birgt allerdings einige Risiken und Fallstricke.
Was ist SSL?
SSL ist ein Akronym für „Secure Socket Layers“ und wurde ursprünglich von der Firma Netscape entwickelt. Die Technik SSL bzw. TSL (Transport Layer Security) als Weiterentwicklung wird zur Verschlüsselung und Authentifizierung des Datenverkehrs zwischen Browser und Webserver im Internet eingesetzt. So soll kein unberechtigter Dritter die Kommunikation abhören und Daten manipulieren können. Wichtig ist dies insbesondere beim Online-Shopping oder ganz allgemein immer dann, wenn vertrauliche Daten übertragen werden. SSL wird heutzutage von allen gängigen Browsern unterstützt.
Wie erkennt nun der Computer-Laie, ob eine verschlüsselte Verbindung vorliegt? Zum einen am HTTPS-Kürzel in der Browserleiste (Beispiel: https://beispielseite.de/sichere-seite/). Das zusätzliche „s“ steht dabei für „secure“, also „sicher“. Wenn Sie mit Ihrem Browser eine Seite aufrufen, die kein gültiges Zertifikat besitzt, so werden Sie mit einer Warnmeldung vor dem Weitersurfen gewarnt. Daneben sollten Sie auch noch ein zweites Sicherheitsmerkmal im Auge behalten, und zwar die Stärke des Zertifikats. Jeder Browser zeigt die Zertifikatsstufe allerdings auf eine andere Weise und in einer anderen Farbe an.
Ein Zertifikat, das für die verschlüsselte Verbindung immer benötigt wird, besteht aus folgenden Schlüsselelementen:
- Name des Zertifikatsinhabers
- Seriennummer des Zertifikats, die zur Identifizierung genutzt wird
- Erlöschensdatum des Zertifikats
- Öffentlicher Schlüssel zur Entschlüsselung von Informationen
- Privater Schlüssel, um Informationen zu entschlüsseln, die vom Webserver stammen
Ranking-Bonus durch HTTPS? Was Google dazu sagt
Seit Herbst letzten Jahres ist die Google-Websuche standardmäßig nur noch verschlüsselt nutzbar. Wer die Seite http://google.de aufruft wird sogleich auf https://google.de weitergeleitet – bisher galt das nur für Suchende, die sich in ihr Google-Konto eingeloggt hatten. Als Grund nannte der Suchmaschinenriese den Datenschutz. Dies blieb allerdings nicht ohne Folgen für Webseiten-Betreiber und Suchmaschinenoptimierer: Durch die Verschlüsselung des Datenverkehrs lässt sich nun für Dritte nämlich nicht mehr feststellen, welchen Suchbegriff ein Nutzer in das Suchfeld bei Google eingegeben hat, ehe er auf einer ganz bestimmten Zielseite im Shop landete. Im Google-eigenen Analysetool „Analytics“ wird unter der Rubrik „Keywords“ mittlerweile zu fast 100 % „not provided“ (nicht verfügbar) ausgewiesen.
Wichtiger Nachtrag |
---|
Am 06. August 2014 hat Google hierzu eine offizelle Aussage getroffen: https wird zum Rankingfaktor. |
Die Frage nun lautet: Belohnt Google Seiten, die ihren Nutzern ein sicheres Surfvergnügen bieten, im Ranking? Hierzu gibt es Google-intern unterschiedliche Ansichten: Während John Mueller bei Google+ verlauten ließ, dass eine Komplettverschlüsselung sicher keine negativen Auswirkungen auf SEO haben werde, aber auch kein Ranking-Bonus zu erwarten sei, wünscht sich Googles oberster Spambekämpfer, Matt Cutts, einen solchen für Seiten, die das HTTPS-Protokoll einsetzen.
Sobald Nutzer mehr Augenmerk auf verschlüsselte Verbindungen legen, können SSL und HTTPS zu einem Wettbewerbsvorteil werden. Denn wählt ein Nutzer gezielt verschlüsselte Websites oder Online-Shops in den Trefferlisten von Suchmaschinen aus, führt dies zu höheren Klickraten – eigentlich ganz im Sinne von Google, das den Nutzern seines Suchdienstes ein bestmögliches „Sucherlebnis“ bieten möchte. Und außerdem hätten es auch Spammer nicht mehr so einfach, die vorderen Plätze in den Suchergebnissen zu besetzen. Denn wer macht sich schon den Aufwand, die eigene Domain so aufwändig zu sichern?
Nicht zuletzt würde eine Umstellung von Online-Shops auf 100 % HTTPS auch bei der Verbreitung von Googles eigenem Protokoll „SPDY“ helfen, das die Ladezeit von Webseiten aufgrund der Abwicklung mehrerer Server-Requests in einer einzigen TCP-Session (Multiplexing) halbieren helfen soll. Der Haken dabei: Es funktioniert nur bei HTTPS-Seiten. Wer mehr über SPDY erfahren will, erhält in diesem Whitepaper mehr Infos: http://dev.chromium.org/spdy/spdy-whitepaper.
Was bei der Umstellung auf HTTPS schief gehen kann und wie Sie es richtig machen
Folgende Fehler und Probleme, die bei der Umstellung auf eine Komplettverschlüsselung auftreten können, sollte man als Webmaster und SEO allerdings unbedingt auf dem Schirm haben:
Abgelaufenes Zertifikat
Server-Zertifikate sollen potenziellen Kunden, die einen Online-Shop aufrufen, Vertrauen vermitteln. Wenn nun das Zertifikat einer Domain nach einem oder mehreren Jahren abgelaufen ist und nicht erneuert wurde, tauchen wie oben bereits beschrieben unschöne Warnmeldungen im Browserfenster auf, womit das ursprüngliche Ziel verfehlt wurde. Ein ungültiges SSL-Zertifikat ist sogar noch schlimmer als gar keines, denn dies würde der Besucher vielleicht gar nicht bemerken. Auch SEO wird hierdurch beeinträchtigt, da aufpoppende Fenster geeignet sind, die Absprungrate durch verunsicherte Besucher in die Höhe schnellen zu lassen. Und hohe Absprungraten senden kein gutes Signal an Suchmaschinen.
Duplicate Content
Ein Problem, das häufig auftritt, wenn man seine Seiten von HTTP auf HTTPS umstellt: Duplicate Content. Sind aufgrund fehlender Weiterleitungen beide Varianten in der Websuche aufrufbar, kann Google einem hier das Leben schwer machen. Denn die Seiten http://testseite.de/xyz und https://testseite/xyz sind für die Suchmaschinen zwei verschiedene Internetadressen, da sie theoretisch verschiedene Inhalte haben könnten. Wenn beide URLs aber auf die Seite mit gleichem Inhalt verweisen, muss von der HTTP- auf die entsprechende HTTPS-Variante eine serverseitige 301-Weiterleitung eingerichtet werden (Wie die Serverkonfiguration für unterschiedliche Server hierfür auszusehen hat, erfahren Sie weiter unten.).
Nachfolgend finden Sie die entsprechenden Serverkonfigurationen für den Apache-Server und nginx (inkl. Kommentierung):
#Für nginx
#Leitet alle Anfragen an http://www.meineseite.de weiter auf https://
server {
server_name www.meineseite.de;
rewrite ^ https://www.meineseite.de$request_uri? permanent;
}
#Leitet alle Anfragen an http://meineseite.de weiter auf https://
server {
server_name .meineseite.de;
rewrite ^ https://www.meineseite.de$request_uri? permanent;
}
#Leitet alle Anfragen an https://meineseite.de auf https://www.meineseite.de weiter, ohne Zertifikatsfehler
server {
listen 443 spdy ssl;
ssl on;
ssl_certificate /etc/nginx/meineseiteSSL.crt;
ssl_certificate_key /etc/nginx/meineseite.key;
server_name .meineseite.de;
rewrite ^ https://www.meineseite.de$request_uri? permanent;
}
#Eigentliche Serverkonfiguration mit IPv6-Support & SPDY
server {
listen [2a00:1158:3::225]:443 spdy ssl; #IPv6-Support mit SPDY & SSL
listen 443 spdy ssl; #IPv4 mit SPDY & SSL
ssl on;
ssl_certificate /etc/nginx/meineseiteSSL.crt; #Zertifikat
ssl_certificate_key /etc/nginx/meineseite.key; #Schlüssel
server_name www.meineseite.de;
add_header Alternate-Protocol 443:npn-spdy/3;
root /var/www/meineseite.de;
[... weitere Konfiguration]
}
## Für Apache2 ##
#Nur wenn das SSL-Modul geladen ist, wird auf Port 443 gelauscht
<IfModule mod_ssl.c>
Listen 443
</IfModule>
##Weiterleitung auf Port 443 ##
<VirtualHost *:80>
ServerName www.meineseite.de
Redirect permanent / https://www.meineseite.de
</virtualHost>
#Minimale VirtualHost-Konfiguration
<virtualhost *:443>
ServerName www.meineseite.de
SSLEngine On
#Das Zertifikat bekommt man von der Vergabe-Stelle, z.B. Verisign
SSLCertificateFile /etc/apache2/ssl/apache.pem
DocumentRoot /PFAD/ZU/DEN/WEBINHALTEN
</virtualhost>
Canonical-Tag
Alternativ kann auch ein Canonical-Tag Verwendung finden. Der Canonical-Tag ist eine Angabe im Quellcode einer Webseite, die auf eine eindeutige URL bei Webseiten mit gleichen Inhalten verweist. So kann man Google mitteilen, dass nur diese eine kanonische URL zur Indexierung herangezogen werden soll – und die HTTP-Seite nicht in den Suchergebnissen erscheinen soll. In den meisten CMS können Sie ein Canonical-Tag für jede Webseite einrichten. Wenn das bei Ihrem CMS nicht der Fall ist, wenden Sie sich an den Support für Ihr CMS.
Verlinkungen
Wenn der Datenverkehr einer Domain bisher über eine ungesicherte HTTP-Verbindung lief und von heute auf morgen auf das HTTPS-Protokoll umgestellt wird, bedeutet das auch, dass alle bisherigen Links nun ins Leere laufen und sich die Fehlermeldungen häufen. Wie sollten Sie hier bei internen und externen Links vorgehen?
-
Interne Links: Wenn sich die internen Links bei Ihrem Content-Management-System nicht automatisch anpassen (da Sie zum Beispiel mit relativen Links arbeiten), müssen Sie hier manuell Hand anlegen. Das kann je nach verwendetem CMS unterschiedlich gelöst werden. Beachten Sie bei der Umstellung der internen Links zudem, dass einzelne Inhaltselemente Ihrer Seite (zum Beispiel Bilder oder Skripte) über SSL geladen werden, da ansonsten Fehlermeldungen erscheinen. Wenn Sie auf Ihrer Seite relative Links verwenden, müssen Sie auch auf das Base-Tag im Head-Bereich der Seite achten.
-
Externe Links: Hier sollten Sie – je nach verfügbaren Ressourcen – versuchen, zumindest die wichtigsten Links auf die neue HTTPS-„Adresse“ ändern zu lassen. Wichtig sind Links von sogenannten „Autoritätsseiten“: Das sind Seiten, die zu einem Thema umfangreiche Informationen bereitstellen und Links zu weiterführenden, themenbezogenen Seiten enthalten.
- Externe Inhalte: Wenn Sie Skripte, Videos oder andere Inhalte von externen Websites (z.B. Youtube-Videos oder Social-Media-Plugins) ohne gesicherte HTTPS-Verbindungen laden, erhalten Nutzer Warnhinweise. Achten Sie daher auch bei externen Inhalten auf gesicherte Verbindungen via HTTPS. Bei der Standard-Einbindung eines YouTube-Videos per iFrame versucht YouTube automatisch zu erkennen, ob die Webseite als http oder https aufgerufen wird und spielt das Video im passenden Protokoll aus. Das funktioniert nicht immer und meistens sind es älteren Videos, bei denen YouTube das Video nicht im passenden Protokoll ausgibt. Wenn Sie ganz sicher gehen wollen, sprechen Sie Ihren Webmaster an, um eine Lösung zu finden.
Google Webmaster Tools
Oft wird vergessen, dass es sich bei der HTTP- und HTTPS-Variante um unterschiedliche Websites handelt. Wenn Sie Ihre Website komplett auf SSL umgestellt haben, müssen Sie die HTTPS-Variante auch in den Google Webmaster Tools anmelden. So lässt sich dann leichter prüfen, ob es eventuell Probleme bei der Indexierung der neuen Seiten gibt und es kann rechtzeitig gegengesteuert werden. Denken Sie außerdem daran, Ihre XML-Sitemap zu aktualisieren und in den Google Webmaster Tools zu hinterlegen.
Serverlast
Zu einem Problem bei der Umstellung auf 100 % SSL kann es auch kommen, wenn Ihre Infrastruktur nicht für die zusätzliche Serverlast ausgelegt ist. Denn schließlich muss der Server nun deutlich mehr Kapazität zur Entschlüsselung zur Verfügung stellen. Wenn Sie Ihre Website bei einem Hoster laufen haben, erkundigen Sie sich dort am besten, so dass es zu keinen Ausfällen kommt. Denn eine langsame Verbindung kann Ihre SEO-Bemühungen zunichtemachen, da Google und die Nutzer Wert auf schnelle Ladezeiten legen.
Selbst wenn nach der Umstellung Ihres Shops auf das HTTPS-Protokoll Suchmaschinen-Rankings und Website-Traffic kurzzeitig einbrechen sollten: Machen Sie sich nicht verrückt! Google benötigt in der Regel – wie auch im Falle eines Domainwechsels – eine gewisse Zeit, um zu erkennen, dass es sich bei HTTP und HTTPS im Prinzip um die gleiche Seite handelt. Wenn Google die Signale an die neuen URLs weitergegeben hat, sollte auch die Sichtbarkeit wieder auf das Ursprungsniveau steigen. Eine negativen Ranking-Effekt haben verschlüsselte Seiten nicht zu befürchten.
Fazit
Geschwindigkeit oder Sicherheit: Musste man sich in der Vergangenheit meist zwischen einem von beiden Faktoren entscheiden, lassen sie sich heute größtenteils miteinander vereinbaren. Wie in dem Artikel beschrieben wurde, bringt die Komplettumstellung einer Website oder eines Online-Shops einiges an Arbeit mit sich. Da die Verwendung von SSL aktuell noch keinen Einfluss auf die Rankings hat, sollten Sie sich gut überlegen, ob der zusätzliche Aufwand den daraus resultierenden Nutzen rechtfertigt. Oder ob es ausreicht, nur den Teil zu verschlüsseln, über den Transaktionen getätigt oder Nutzerdaten übermittelt werden.
Über den Autor
Martin Stäbe hat an den Universitäten Augsburg und Rennes 1 (Frankreich) Betriebswirtschaftslehre mit dem Schwerpunkt Wirtschaftsinformatik studiert. Bei der Online Solutions Group GmbH ist er seit Januar 2011 für den Bereich SEO zuständig, seit Juni 2012 als Redakteur. In dieser Funktion betreut er auch den Agenturblog.