„Dies ist keine sichere Verbindung“ – ein Satz, der viele Website-Besucher abschreckt und oft dazu führt, dass die Zielseite gar nicht erst vollständig aufgerufen wird. Doch, warum erscheint diese Meldung, meist in Kombination mit einem Warndreieck, überhaupt im Browser?
Der Grund ist, dass die entsprechende Domain über kein SSL-Zertifikat verfügt und daher keine Verbindung mittels https aufgebaut werden kann.
Wenn Du eine solche Domain betreibst, solltest Du dringend handeln. Denn eine SSL-Verschlüsselung schafft nicht nur Vertrauen bei Deinen potenziellen Besuchern, sondern ist auch ein Rankingfaktor in den Suchmaschinen. Für Kontaktformulare ist https bereits seit 2016 Pflicht, im Jahr 2018 hat die DSGVO dies erweitert und beispielsweise auch auf Kommentarfunktionen und Bestellseiten übertragen.
Screenshot Chrome Adress-Leiste.
Was ist SSL?
SSL steht für „Secure Sockets Layer“ und meint ein Verschlüsselungsprotokoll für eine sichere Übertragung von Daten im Internet, welches 1995 eingeführt wurde. Es wurden fortlaufend bessere Versionen entwickelt. Ab 1998 folgte die Umbenennung von SSL in TLS („Transport Layer Security“). TLS meint die Transportsicherheit von Daten und ist eine verbesserte Version von SSL. Dennoch ist der Begriff „SSL“ weiterhin geläufig.
Wie genau funktioniert das Ganze?
Bei der Verwendung von https, das in direktem Zusammenhang mit SSL steht, werden die Daten zwischen dem Browser und dem Webserver verschlüsselt. Das „s“ unterscheidet https von http und steht für „secure“. Es basiert auf der SSL-Verschlüsselung. Die übertragenen Daten können somit nicht manipuliert werden oder durch Dritte abgefasst werden.
Welche Vorteile hat eine SSL-Verschlüsselung?
Eine Installation von SSL bringt zwar zunächst einen erhöhten, administrativen Aufwand, jedoch eine Reihe nachhaltiger Vorteile:
- Vertrauenswürdigkeit beim Nutzer: offensichtlicher Hinweis einer sicheren Verbindung.
- Besseres Ranking: sichere Verbindungen werden von Suchmaschinen positiv bewertet (seit 2014 ist eine sichere Verbindung offizieller Ranking-Faktor).
- Bessere Datenqualität: für Webanalyse.
- Sichere Datenverbindungen.
- Austausch sensibler Daten möglich.
- Erfüllung von gesetzlichen Sicherheitsstandards/DSGVO.
Vor allem Unternehmen im Bereich E-Commerce (z.B. Onlineshops), Online Banking und Finanzen oder Support-Systeme sollten dringend einen Wechsel zu SSL bzw. https vollziehen, um die sensiblen Daten, die hier in hohem Maße ausgetauscht werden, zu schützen. Aber auch für andere Domains ist die Umstellung, vor allem im Hinblick auf das Ranking, sinnvoll.
Was ist ein SSL-Zertifikat?
Damit die Daten via TLS verschlüsselt werden, muss ein SSL-Zertifikat vorliegen. In der Praxis ist es üblich, die Zertifikate weiterhin als SSL-Zertifikate oder als SSL/TLS-Zertifikate zu bezeichnen. Da SSL-Zertifikate der geläufigere Begriff ist, wird dieser im Folgenden verwendet.
Das SSL-Zertifikat kannst Du direkt bei Deinem Webhoster oder bei einer Zertifizierungsstelle (Certificate Authority) beantragen. Dabei handelt es sich um ein Unternehmen oder eine Organisation, welche die Identität einer Website validiert und anschließend ein digitales Zertifikat ausstellt.
Das digitale Zertifikat enthält unter anderem folgende Angaben:
- Name der Website (Domain), für die das Zertifikat ausgestellt wurde,
- Gültigkeitsdauer des Zertifikats,
- Name der Zertifizierungsstelle.
Wurde das Zertifikat hinterlegt, kann es im Browser vom Nutzer eingesehen werden. Nutzt Du beispielsweise den Google Chrome Browser, funktioniert es wie folgt: Klicke auf das „Schloss-Symbol“ oben in der Adress-Leiste, dann auf „Verbindung ist sicher“ und dann auf „Zertifikat ist gültig“.
Screenshot Google Chrome Aufrufen SSL-Zertifikat.
Screenshot Google Chrome Zertifizierungsinformationen.
Das digitale Zertifikat stellt sicher, dass es sich tatsächlich um die Seite handelt, die auch aufgerufen wurde.
Was bedeutet https?
Die Abkürzung https steht für „Hypertext Transport Protocol Secure“ und meint das entsprechende, sichere Datenübertragungs-Protokoll, das über das SSL-Zertifikat bestätigt ist. Im Gegensatz zu http garantiert es eine sichere Datenverbindung und ermöglicht den Austausch sensibler Daten.
Wie funktioniert https?
Um den Ablauf von https besser zu verstehen, gehen wir kurz auf die Begriffe symmetrische und asymmetrische Verschlüsselung näher ein.
Symmetrische Verschlüsselung
Es gibt nur einen Schlüssel. Mit diesem Schlüssel können die Daten verschlüsselt und gleichermaßen entschlüsselt werden. Beispielsweise wird das Wort „Haus“ – anders als bei der asymmetrischen Verschlüsselung –durch einen Schlüssel sowohl verschlüsselt als auch entschlüsselt.
Die symmetrische Verschlüsselung findet Anwendung beim Datentransfer zwischen Browser und Webserver. Sowohl der Browser als auch die Webserver haben den gleichen Schlüssel (Session Key) und können somit ihren Datentransfer gegenseitig verschlüsseln und entschlüsseln.
Asymmetrische Verschlüsselung
Es gibt zwei Schlüssel. Einen sogenannten „Private Key“ und einen „Public Key“. Auf den Public Key darf jeder zugreifen. Der Private Key ist nur einer Instanz vorbehalten. Beispielsweise wird das Wort „Haus“ durch den Public Key verschlüsselt. Der Public Key kann aber das Wort „Haus“ nicht entschlüsseln. Die Entschlüsselung kann nur der Private Key vornehmen. Es gibt somit zwei unterschiedliche Schlüssel, um Daten zu ver- und entschlüsseln.
Die asymmetrische Verschlüsselung findet Anwendung bei der Übertragung des sogenannten „Session Keys“ vom Browser an den Server.
Der Ablauf von https
Der grobe Ablauf von https lässt sich wie folgt darlegen:
- Das SSL-Zertifikat wird auf dem Webserver installiert.
- Wenn der Browser jetzt Kontakt mit dem Webserver aufnimmt, erhält er das Zertifikat und einen Public Key vom Webserver.Der Browser prüft die Signatur im Zertifikat. Da im Browser die vertrauenswürdigen Zertifizierungsstellen zusammen mit dem zugehörigen Public Key hinterlegt sind, kann die Signatur des Zertifikats verifiziert werden.
Wenn das Zertifikat erfolgreich verifiziert wurde, handelt es sich um den „richtigen“ Webserver / die „richtige“ Website. - Nach erfolgreicher Verifizierung des SSL-Zertifikats erstellt der Browser einen Session Key. Dieser Session Key kann Daten entschlüsseln und verschlüsseln (symmetrische Verschlüsselung). Eine Kopie vom Session Key wird vom Browser an den Web Server gesendet. Um den Session Key zu verschlüsseln, wird der Public Key vom Webserver verwendet (der Public Key wurde vom Webserver zusammen mit dem Zertifikat an den Browser gesendet).Da nur der Webserver den zum Public Key gehörenden Private Key besitzt, kann dieser die Daten, in diesem Fall den Session Key, entschlüsseln. Der Webserver erhält somit über eine verschlüsselte Verbindung eine Kopie vom Session Key. Die Daten können jetzt zwischen Browser und Webserver mit dem gleichen Session Key verschlüsselt und entschlüsselt werden (symmetrische Verschlüsselung).
Das SSL-Zertifikat ist damit Voraussetzung, dass eine https-Verbindung und damit eine Verschlüsselung und Entschlüsselung der Daten zustande kommt.
SSL und https einrichten in 8 Schritten – inklusive Checkliste
Wenn Du eine SSL-Verschlüsselung einrichten und Deine Domain auf https umstellen möchtest, solltest Du mehrere Schritte befolgen:
Schritt 1: Erwerb und Installation eines SSL-Zertifikats
Schritt 2: Eine einheitliche Übertragung gewährleisten – No Mixed Content
Schritt 3: Weiterleitungen einrichten
Schritt 4: Aktualisierung der XML-Sitemap
Schritt 5: Anlegen und Konfiguration der Google Search Console
Schritt 6: Update des Google Analytics URL Profils
Schritt 7: Neu-Upload des Disavow Files
Schritt 8: Abschließende Überprüfungen und Korrekturen
Nichts vergessen? – Checkliste
Schritt 1: Erwerb und Installation eines SSL-Zertifikats
Wie oben bereits beschrieben, benötigst Du zunächst eine SSL-Zertifizierung. In neuen Webhosting-Paketen ist ein solches Zertifikat oft inklusive. Ansonsten beantragst Du die Zertifizierung bei einer Zertifizierungsstelle.
Du kannst bezüglich der Validierung zwischen drei verschiedenen Optionen wählen:
- Domain Validation: Für Single- oder Sub Domains. Schnell und preisgünstig via E-Mail.
- Business Validation: Für Single- oder Sub Domains. Nachweis der Unternehmenstätigkeit notwendig, höhere Vertrauenswürdigkeit, dauert bis zu 3 Tage.
- Extended Validation: Für Single- oder Sub Domains. Nachweis der Unternehmenstätigkeit notwendig, höhere Vertrauenswürdigkeit, dauert bis zu 7 Tage.
Screenshot Google Chrome Adress-Leiste – Domain Validation Hinweis.
Hast Du das SSL-Zertifikat erhalten, muss dieses installiert werden. Am besten, ziehst Dir hier professionelle Hilfe zu Rate, oft bietet auch der entsprechende Webhoster eine Installation an. Anschließend hast Du die Möglichkeit, über einen kostenfreien Online-Service die korrekte Einbindung des Zertifikates zu testen.
Screenshot ssllabs.com – Test Zertifikat-Installation.
Schritt 2: Eine einheitliche Übertragung gewährleisten – No Mixed Content
Du solltest unbedingt vermeiden, dass ein Teil der Daten zur Darstellung Deiner Domain weiterhin über http geladen wird. Eine solche Verbindung ist nicht nur unsicher, durch die zwei verschiedenen Protokolle https und http entsteht zudem sogenannter „mixed content“, das wiederum wird von vielen Browsern, wie etwa Google Chrome, blockiert.
Mixed content kannst Du verhindern, indem Du sicherstellst, dass alle benötigten Daten, die auf Deinem Server liegen, einheitlich über das https-Protokoll geladen werden. Beispielsweise Bilder, Videos oder Formulare. So vermeidest Du eine Blockade der Seite. Ist das Problem damit nicht behoben, musst Du betreffende, hartcodierte Links auf https umstellen. Hier können Search-and-Replace-Skripte helfen. Tipp: Erstelle zuvor sicherheitshalber ein Backup.
Schritt 3: Weiterleitungen einrichten
Einen entscheidenden Teil hast Du nun bereits geschafft. Ein paar sehr wichtige Dinge musst Du dennoch noch erledigen, darunter die Einrichtung von Weiterleitungen (engl. Redirects).
Warum ist das so wichtig?
Stell Dir vor, auf Plattformen oder Seiten, die zu Deiner Domain verlinken, sind noch alte URLs ohne https hinterlegt. Richtest Du keine Redirects ein, führen diese Links nun ins Leere. So wirst Du Ranking-Einbußen erleiden – also genau das Gegenteil von dem, was Du erreichen willst.
Des Weiteren sind URLs mit http und https für Google unterschiedliche URLs, die von Google separat bewertet werden. Daher müssen die bereits aufgebauten Signale von http auf https übertragen werden.
Um das zu realisieren, sind sogenannte 301-Weiterleitungen notwendig. Dabei handelt es sich um permanente Weiterleitungen, die fast 100% der Ranking-Kraft auf die Zielseite übertragen. Da das händisch kaum umzusetzen ist, empfehlen wir eine automatische, serverseitige Implementierung der Weiterleitungen. Hierfür gibt es spezielle Codes zur Realisierung.
Schritt 4: Aktualisierung der XML-Sitemap
Alle URLs Deiner Website, die von Google und anderen Suchmaschinen indexiert sowie in den Suchergebnissen (SERPs) gelistet werden, befinden sich in einer sogenannten Sitemap. Diese wird als XML-Datei gespeichert und muss unbedingt auf die neuen https-URLs angepasst werden, damit die Seiten weiterhin gelistet und aufgerufen werden können. Hierbei kannst Du auch gleich prüfen, ob die Status Codes Deiner URLs korrekt sind. Senden URLs nicht den Code 200 zurück, besteht Handlungsbedarf.
Den Pfad zur XML-Sitemap findest Du häufig in der robots.txt. Hier sind oft auch weitere Pfade hinterlegt. All diese Pfade müssen nach einer Umstellung ebenfalls auf https angepasst werden.
Schritt 5: Anlegen und Konfiguration der Google Search Console
Nachdem Du alle URLs aktualisiert bzw. Weiterleitungen eingerichtet hast, musst Du im nächsten Schritt eine neue Property in der Google Search Console (GSC) für die neue https-Version anlegen. Die GSC als wichtiges Monitoring-Tool gibt Dir die Möglichkeit, relevante Informationen zu Klicks, Seitenaufrufen und über Deine indexierten Seiten zu erhalten.
Indem Du der GSC Deine neue Property übermittelst, kannst Du die Performance Deiner Domain weiter überwachen. Nach der anschließenden Konfiguration können alle aktuellen URLs an Google übermittelt werden. Dafür wird die aktualisierte sitemap.xml hochgeladen (s. auch Schritt 4).
Google Search Console: sitemap.xml hochladen.
Hast Du die aktualisierte Sitemap hinzugefügt, kann das Crawling der https-Seite unter dem Reiter „URL-Prüfung“ gecheckt werden. Ist Deine https-Startseite noch nicht indexiert, hast Du die Möglichkeit, den Prozess über „Indexierung beantragen“ zu beschleunigen.
Google Search Console: Abruf durch Google.
Schritt 6: Update des Google Analytics URL Profils
Nach der Umstellung auf https musst Du die Einstellung auch in Deinem Google-Analytics-Konto entsprechend hinterlegen. Dies funktioniert unter Verwaltung > Property-Einstellungen. Hier änderst Du die Standard-URL ganz einfach entsprechend auf https.
Schritt 7: Neu-Upload des Disavow Files
Existieren im Netz von Dir nicht gewünschte Verweise auf Deine Seite, die Du über sogenannte „Disavow-Files“ für Google entwertet hast, musst Du diesen Vorgang nach der Umstellung auf https wiederholen. Denn durch die neue Property (s. Schritt 5) ist die Entwertung nicht mehr gültig bzw. möglich.
So gehst Du vor:
- Öffne zunächst das Google Disavow Tool.
- Lade das bereits existierende File (für http) herunter.
- Rufe das Google Disavow Tool anschließend erneut auf.
- Wähle nun die aktuelle https Property aus.
- Lade das Disavow File neu hoch.
Goolge Disavow Domain auswählen.
Schritt 8: Abschließende Überprüfungen und Korrekturen
Im Grunde hast Du mit den vorangegangenen Schritten die SSL- bzw. https-Installation erfolgreich durchgeführt. Ein paar Kleinigkeiten sind jedoch noch zu tun.
Folgendes solltest Du überprüfen und ggf. anpassen:
- Gesetzte Canonical Tags,
- URLs im Ads-Bereich (AdWords, Facebook Ads usw.),
- E-Mail-Marketing-URLs (MailChimp, Campaign Monitor usw.),
- Externe Social Media Links (Twitter, Facebook, LinkedIn usw.),
- Externe Backlinks,
- Im Content Delivery Network (CDN) hinterlegte URLs.
Nichts vergessen? – Checkliste
Hier noch einmal die notwendigen ToDos für Dich zusammengefasst:
- Erwerb und Installation SSL-Zertifikat,
- Einheitlichen Upload über https sicherstellen,
- Einrichtung von 301-Weiterleitungen,
- Aktualisierung XML-Sitemap sowie robots.txt,
- Anpassung der Google Search Console
- Update des Google Analytics URL Profils,
- Reupload des Disavow Files,
- Abschließende Überprüfung.
Fazit: Eine SSL-Verbindung einrichten gelingt mit dem richtigen Konzept
Du solltest in jedem Fall auf eine SSL-Verschlüsselung für Deine Website setzen und damit nicht nur Deinen Besuchern mehr Sicherheit bieten, sondern auch Dein Ranking verbessern. Wichtig ist, nicht überstürzt zu handeln, sondern zunächst einen groben Ablaufplan zu erstellen und diesen anschließend step-by-step abzuarbeiten.
Unsere 8 Schritte sowie die zugehörige Checkliste können Dir dabei helfen. So kannst Du dank https-Migration neuen Schwung in Deine Performance bringen und die Datenqualität erhöhen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
