HTTPS-Verbindung für eine normale Website?

Zuletzt bearbeitet am Freitag, den 27 September 2019Themen: ,

HTTPS bedeutet Hypertext Transfer Protocol Secure und ist gleichzusetzen mit dem HTTP-Protokol, mit dem Unterschied, dass die Daten mit TLS (Vorgängerbezeichnung SSL) verschlüsselt werden.
Also HTTP + TLS.

Während beim normalen HTTP-Protokol die Daten im Klartext übertragen werden, werden die Daten bei HTTPS verschlüsselt übertragen.

Nicht nur Onlineshops und Portale profitieren von einer verschlüsselten Verbindung. Auch für normale Websites und Blog kann sich eine HTTPS-Verbindung lohnen.

Inhaltsverzeichnis

Vorteile von HTTPS

HTTPS bietet Sicherheit

Durch eine verschlüsselte SSL/TLS-Verbindung lassen sich sogenannte Man-in-the-Middle Angriffe effektiv verhindern. Ein potentieller Angreifer kann zwar den Datenverkehr auslesen, jedoch kann er mit den Daten nichts anfangen, da diese verschlüsselt übertragen werden.

Es können im Normalfall also keine Passwörter ausgelesen werden. Außerdem können Websites nicht verfälscht, oder umgeleitet werden.

HTTPS als Rankingfaktor

Google startete im Juni 2014 die Initiative „HTTPS everywhere“ und kündigte zugleich an eine HTTPS-Verbindung in Zukunft als Rankingfaktor mit einfließen zu lassen.

Die SEO-Softwarefirma Searchmetrics veröffentlichte dazu am 04.03.2015 einen Blog Post. Dort heißt es, dass sie seit 2012 auf Basis von 30.000 ausgewählten Keywords eine Analyse starteten und einen Zusammenhang zwischen einer verschlüsselten Website und der Sichtbarkeit bei Google erkennen konnten.
Während dies kurz nach Bekanntgabe 2014 noch nicht der Fall war, konnte man nun einen Anstieg der Sichtbarkeit um bis zu 5% verzeichnen.

HTTPS schafft Vertrauen

Bei einer HTTPS-Verbindung zeigt ein Browser im Normalfall ein grünes Schloss-Symbol in der Browserleiste an. Dies schafft zusätzliches Vertrauen beim Nutzer.
Mit einem Blog-Post vom 8. September 2016 gab Google auf dem Security-Blog bekannt, dass Google ab Januar 2017 in Chrome (Version 56) die Nutzer warnen wird, wenn eine Website nicht verschlüsselt ist.

Was muss bei der technischen Umsetzung beachtet werden?

  1. HTTPS auf dem Server konfigurieren
  2. Alle Ressourcen auf der Website prüfen und von HTTP auf HTTPS umstellen
  3. Interne Links müssen auf HTTPS-Seiten zeigen
  4. Prüfung der robots.txt, rel=“canonical“ und sonstige Signale
  5. Redirects korrekt setzen (301), HSTS hinzufügen
  6. Reports auf Google-Webmastertools prüfen

Tipps

  • Kommerzielle Zertifikate haben ein Ablaufdatum. Nach Ablauf wird das Zertifikat als ungültig ausgewiesen und der Browser zeigt eine Warnmeldung. Abhilfe schafft ein Kalendereintrag.
  • Hardgecodete HTTP-URLs vermeiden:

    Stattdessen Protocol-Relative URLs nutzen.

  • Unnötige, bzw. mehrfache Redirects vermeiden, mittels HSTS (HTTP Strict Transport Security): 
    Strict-Transport-Security: max-age=10886400; includeSubDomains

    In der .htaccess würde der Eintrag folgendermassen aussehen:

    Header always set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS
  • Weiterleitungen in der .htaccess setzen: 
    RewriteCond %{SERVER_PORT} !^443
RewriteCond %{HTTP_HOST} ^www\.
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www\.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Mit diesen .htaccess-Direktiven würden folgende 4 URL-Varianten auf die https://www.beispiel.de Version weiterleiten.

  • Alle URL-Varianten auf korrekte Weiterleitungen und evlt. Duplicate-Content prüfen: 
    https://www.beispiel.de
https://beispiel.de
http://www.beispiel.de
http://beispiel.de

    und evtl. die mobile Version, bzw. weitere Varianten.

    http://m.beispiel.de

Video zum Thema

Links zum Thema

https://www.experte.de/ssl-check

https://www.ssllabs.com/ssltest/

https://istlsfastyet.com/

https://googlewebmastercentral-de.blogspot.de/2014/08/https-als-ranking-signal.html

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html