Ist eine Seite über das Protokoll HTTPS erreichbar, kann die Datenübertragung zwischen Server und Browser verschlüsselt abgewickelt werden. Der Server antwortet der Anfrage des Clients dann zunächst mit seinem Zertifikat. Damit kann der anfragende Client beim Aussteller des Zertifikats die Identität des Servers überprüfen und verifizieren. Damit wird sichergestellt, dass keine dritte Partei Daten abgreift oder einschleust.
SSL (Secure Socket Layer) bzw. mittlerweile eigentlich das Nachfolgezertifikat TLS (Transport Layer Security) gibt es schon seit den 90ern. Trotzdem wurde die Verschlüsselung von Datentransfers im Web bis vor kurzer Zeit aber eigentlich nur von Banken, Webshops oder größeren Plattformen eingesetzt. Also überall wo sensible Daten übertragen werden. Die meisten Websites aber scheuten die Umstellung auf https:// aber, wegen des technischen Aufwandes oder der teuren Zertifikate.
Da half auch nichts, dass Google bereits 2014 ankündigte https:// zu einem Ranking Signal zu machen. Seit es aber möglich ist, zumindest Domain-Validation-Zertifikate kostenlos über den Dienst Let’s Encrypt der gemeinnützigen Internet Security Research Group auszustellen, scheint endlich ein Umdenken bei Webmastern eingesetzt zu haben.
Bei immer mehr Hosting-Anbietern ist es mittlerweile möglich, ein Let’s Encrypt Zertifikat schnell und mit nur einem Klick kostenlos oder gegen eine geringe Gebühr aufzuschalten und regelmäßig erneuern zu lassen. So können auch Blogger und Websitebetreiber mit kleinen Webspace Paketen leicht auf HTTPS umsteigen.
Aber warum sollte man es jetzt endlich in Angriff nehmen?
Dafür gibt es vier gute Gründe:
Sicherheit
In erster Linie geht es bei der SSL/TLS Verschlüsselung natürlich um Datenschutz. Dritte sollen nicht Daten, die über Kontaktformulare abgegeben werden im Klartext mitschneiden können oder gar andere Inhalte auf meiner Website einschleusen um so an irgendwelche Daten zu kommen.
Trust & User Experience
Die Verschlüsselung ist immer auch ein Zeichen an den User, dass er sich sicher sein kann, dass die Inhalte, die er gerade liest auch von den Servern des Betreibers der Website stammen. Ab Anfang 2017 wollen Chrome, Firefox und andere Browser damit beginnen die User vor unverschlüsselten Webseiten zu warnen. Wessen Seite dann als „nicht sicher“ mit rotem Warnhinweis neben der URL angezeigt wird, braucht sich über hohe Absprungraten nicht wundern.
Suchmaschinenoptimierung
Die Verschlüsselung über HTTPS ist dann ja auch noch ein von Google bestätigter und propagierter Ranking Faktor. Zwar ist die Gewichtung dieses Faktors eher gering und kann andere Mankos, wie schlechte Inhalte, langsame Ladezeiten oder fehlende Backlinkpower allein nicht Wett machen, aber wie Searchmetrics gezeigt hat, ist die Korrelation zwischen guten Rankings & SSL Verschlüsselung durchaus signifikant.
Analytics
Zu guter Letzt hat eine fehlende Verschlüsselung auch Auswirkung auf die Datenqualität des Google Analytics Trackings. Wer eine Website hat, der will unter anderem auch wissen, wie denn die User auf die eigene Seite kommen. Dazu gibt es in Google Analytics den schönen Bericht zu Akquisition, der die Sitzungen nach den verschiedenen Zugriffsquellen aufschlüsselt.
Neben Organic Search, Paid Search, Referral und so weiter gibt es immer auch die Kategorie „Direct“. Alle Zugriffe, die Google Analytics nicht zuordnen kann landen zusammen mit den Usern, die die URL direkt in die Browserleiste eintippen in der Kategorie „Direct“.
Kommt ein User nun von einer verschlüsselten Seite über einen Link auf eine unverschlüsselte Seite, sendet die verschlüsselte Seite auch keinen Referrer im HTTP Header mit. Weil Google Analytics dann nicht zuordnen kann, woher der User stammt, wird die Sitzung unter dem Punkt „Direct“ eingeordnet, obwohl der Besucher tatsächlich eigentlich über einen Link auf einer anderen Website gekommen ist.
Was muss ich beachten, wenn meine Seite dann unter HTTPS zu erreichen ist?
Eigentlich gibt es drei Punkte bei der Umstellung auf HTTPS zu beachten. Zuerst einmal muss sichergestellt werden, dass auch alle Ressourcen (Bilder, Fonts, Widgets,…) der Seite auch via https:// geladen werden. Ansonsten zeigt der Browser den Usern wieder hässliche Warnungen an oder lädt die Elemente überhaupt nicht.
Anschließend geht es darum sicher zu gehen, dass die komplette Website dann auch nur als verschlüsselte Version unter https:// erreichbar ist. Die unverschlüsselten http-Varianten (www und non-www) sollten via 301 redirect auf die richtige HTTPS-Version weitergeleitet werden. „Richtige“ https Version heißt, dass die Website auch über https nur über entweder mit www oder ohne www erreichbar sein sollte: https://www.example.com oder https://example.com.
Wichtig ist dabei aus SEO-Perspektive dann auch, dass eventuelle Canonical oder hreflang-Links auf die richtige HTTPS-Version zeigen.
Als dritten Schritt muss auf jeden Fall eine eigene Property bei Googles Search Console für die neue HTTPS Version angelegt werden. Weil die gesamte Seite nur noch über https:// erreichbar ist, werden die alten unverschlüsselten Seiten nach und nach in den Suchergebnissen durch die verschlüsselten ersetzt. Um Daten zur Performance dieser Seiten in der Suche zu bekommen brauchen wir eben diese Property. Hier reichen wir gleich auch eine aktuelle XML Sitemap ein und laden auch ein eventuell vorhandenes Disavow File nochmals hoch.