Ist eine Seite über das Protokoll HTTPS erreichbar, kann die Datenübertragung zwischen Server und Browser verschlüsselt abgewickelt werden. Der Server antwortet der Anfrage des Clients dann zunächst mit seinem Zertifikat. Damit kann der anfragende Client beim Aussteller des Zertifikats die Identität des Servers überprüfen und verifizieren. Damit wird sichergestellt, dass keine dritte Partei Daten abgreift oder einschleust.

SSL (Secure Socket Layer) bzw. mittlerweile eigentlich das Nachfolgezertifikat TLS (Transport Layer Security) gibt es schon seit den 90ern. Trotzdem wurde die Verschlüsselung von Datentransfers im Web bis vor kurzer Zeit aber eigentlich nur von Banken, Webshops oder größeren Plattformen eingesetzt. Also überall wo sensible Daten übertragen werden. Die meisten Websites aber scheuten die Umstellung auf https:// aber, wegen des technischen Aufwandes oder der teuren Zertifikate.



Da half auch nichts, dass Google bereits 2014 ankündigte https:// zu einem Ranking Signal zu machen. Seit es aber möglich ist, zumindest Domain-Validation-Zertifikate kostenlos über den Dienst Let’s Encrypt der gemeinnützigen Internet Security Research Group auszustellen, scheint endlich ein Umdenken bei Webmastern eingesetzt zu haben.

Bei immer mehr Hosting-Anbietern ist es mittlerweile möglich, ein Let’s Encrypt Zertifikat schnell und mit nur einem Klick kostenlos oder gegen eine geringe Gebühr aufzuschalten und regelmäßig erneuern zu lassen. So können auch Blogger und Websitebetreiber mit kleinen Webspace Paketen leicht auf HTTPS umsteigen.

Aber warum sollte man es jetzt endlich in Angriff nehmen?

Dafür gibt es vier gute Gründe:

Sicherheit

In erster Linie geht es bei der SSL/TLS Verschlüsselung natürlich um Datenschutz. Dritte sollen nicht Daten, die über Kontaktformulare abgegeben werden im Klartext mitschneiden können oder gar andere Inhalte auf meiner Website einschleusen um so an irgendwelche Daten zu kommen.

Trust & User Experience

Die Verschlüsselung ist immer auch ein Zeichen an den User, dass er sich sicher sein kann, dass die Inhalte, die er gerade liest auch von den Servern des Betreibers der Website stammen. Ab Anfang 2017 wollen Chrome, Firefox und andere Browser damit beginnen die User vor unverschlüsselten Webseiten zu warnen. Wessen Seite dann als „nicht sicher“ mit rotem Warnhinweis neben der URL angezeigt wird, braucht sich über hohe Absprungraten nicht wundern.

Suchmaschinenoptimierung

Die Verschlüsselung über HTTPS ist dann ja auch noch ein von Google bestätigter und propagierter Ranking Faktor. Zwar ist die Gewichtung dieses Faktors eher gering und kann andere Mankos, wie schlechte Inhalte, langsame Ladezeiten oder fehlende Backlinkpower allein nicht Wett machen, aber wie Searchmetrics gezeigt hat, ist die Korrelation zwischen guten Rankings & SSL Verschlüsselung durchaus signifikant.

Analytics

Zu guter Letzt hat eine fehlende Verschlüsselung auch Auswirkung auf die Datenqualität des Google Analytics Trackings. Wer eine Website hat, der will unter anderem auch wissen, wie denn die User auf die eigene Seite kommen. Dazu gibt es in Google Analytics den schönen Bericht zu Akquisition, der die Sitzungen nach den verschiedenen Zugriffsquellen aufschlüsselt.

Neben Organic Search, Paid Search, Referral und so weiter gibt es immer auch die Kategorie „Direct“. Alle Zugriffe, die Google Analytics nicht zuordnen kann landen zusammen mit den Usern, die die URL direkt in die Browserleiste eintippen in der Kategorie „Direct“.

Kommt ein User nun von einer verschlüsselten Seite über einen Link auf eine unverschlüsselte Seite, sendet die verschlüsselte Seite auch keinen Referrer im HTTP Header mit. Weil Google Analytics dann nicht zuordnen kann, woher der User stammt, wird die Sitzung unter dem Punkt „Direct“ eingeordnet, obwohl der Besucher tatsächlich eigentlich über einen Link auf einer anderen Website gekommen ist.

Was muss ich beachten, wenn meine Seite dann unter HTTPS zu erreichen ist?

Eigentlich gibt es drei Punkte bei der Umstellung auf HTTPS zu beachten. Zuerst einmal muss sichergestellt werden, dass auch alle Ressourcen (Bilder, Fonts, Widgets,…) der Seite auch via https:// geladen werden. Ansonsten zeigt der Browser den Usern wieder hässliche Warnungen an oder lädt die Elemente überhaupt nicht.

Anschließend geht es darum sicher zu gehen, dass die komplette Website dann auch nur als verschlüsselte Version unter https:// erreichbar ist. Die unverschlüsselten http-Varianten (www und non-www) sollten via 301 redirect auf die richtige HTTPS-Version weitergeleitet werden. „Richtige“ https Version heißt, dass die Website auch über https nur über entweder mit www oder ohne www erreichbar sein sollte: https://www.example.com oder https://example.com.
Wichtig ist dabei aus SEO-Perspektive dann auch, dass eventuelle Canonical oder hreflang-Links auf die richtige HTTPS-Version zeigen.

Als dritten Schritt muss auf jeden Fall eine eigene Property bei Googles Search Console für die neue HTTPS Version angelegt werden. Weil die gesamte Seite nur noch über https:// erreichbar ist, werden die alten unverschlüsselten Seiten nach und nach in den Suchergebnissen durch die verschlüsselten ersetzt. Um Daten zur Performance dieser Seiten in der Suche zu bekommen brauchen wir eben diese Property. Hier reichen wir gleich auch eine aktuelle XML Sitemap ein und laden auch ein eventuell vorhandenes Disavow File nochmals hoch.

 

Bildnachweis: Let’s Encrypt Logo, CC-BY-NC 4.0

2017 – Zeit endlich auf HTTPS umzusteigen!
5 (100%) 1 vote

3 replies
  1. Patrick says:

    Hallo. Schöner Artikel. Ich hätte dazu eine Frage.
    Ich bin seit gestern auf HTTPS umgestiegen. Zuvor war meine Absprungrate bei einem Prozent. Nun ist sie bei 80% . Woarn liegt das ? Eventuell an der Serverumleitung?

    Reply
    • Daniel Marx
      Daniel Marx says:

      Hallo Patrick,

      grundsätzlich sollte eine reine Umstellung auf HTTPS die Absprungrate nicht beeinflussen. Bei einem Standard Setup von Google Analytics (wenn nur Page-Views getrackt werden) ist eine Absprungrate von 1% extrem niedrig. Gewöhnlich liegen Bounce Rates deutlich höher, sodass 80% fast schon realistischer klingt.
      Wenn InPage Events getriggert werden (Scroll Tiefe, Klicks, Auslieferung von Ads,…) kann das natürlich wieder ganz anders aussehen)

      Natürlich kommt das auch immer auf Typ & Inhalte der jeweiligen Seiten an. Ein Bounce ist ja immer ein Besuch, der nur 1 einziges Analytics Event (idR den PageView) auslöst. Findet der User auf der Landing Page genau das, was er gesucht hat, kann ein Bounce auch etwas positives sein, weil er nicht weiter suchen muss.

      Eine Ferndiagnose ist allerdings schwierig. Schau dir doch dein Analytics Setup noch einmal genau an.

      Reply
      • Patrick says:

        Danke für die schnelle Antwort.
        Ich denke, das von meiner Art von Seite eine Absprungrate von einem Prozent schon realistisch ist. Ich schreib Saugroboter Reviews. Da sind die Mensch unsicher welchen sie kaufen sollen. Ein Besucher schaut sich bei mir im Schnitt 4 seiten an. Ok also an HTTPS kann es also nicht liegen. Dann muss ich mal weiterforschen. Danke für deine Hilfe.

        Reply

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.