Wie du den Umzug von HTTP auf HTTPS meisterst

HTTP (Hypertext Transfer Protocol) ist das Protokoll für die Übermittlung von Daten im Internet. Da hierbei keine Verschlüsselung stattfindet, können Daten von Angreifern manipuliert und verfolgt werden. An dieser Stelle kommt SSL (Secure Sockets Layer) bzw. der Nachfolger TLS (Transport Layer Security) ins Spiel. Diese Zertifikate verschlüsseln den Datenverkehr und sichern die Übertragung zwischen Browser und Webserver. Das heißt, die Kommunikation kann nicht mitgelesen oder verfälscht werden. HTTPS ist also die Kombination aus HTTP und einem Sicherheitszertifikat.

http + SSL/TLS = https

Das Zertifikat codiert beispielsweise diese Daten

• Zahlungsinformationen
• Log-in und Registrierungsdaten
• Hochgeladene Dokumente
• Eingabeformulare

Im Sprachgebrauch ist nach wie vor die Rede von SSL, obwohl TLS gemeint ist.

Wofür ist HTTPS gut?

Nicht nur bei Onlineshops gehört eine sichere Verbindung derweil zum „guten Ton“. Mittlerweile geben Chrome und andere Browser bei HTTP-Seiten die Meldung „Nicht sicher“ aus. Das ist ein Killer für jede Conversion. Ist die Seite hingegen sicher, erscheint ein Schlosssymbol. Das Nutzervertrauen ist bei einer verschlüsselten Seite höher, vor allem wenn sicherheitsrelevante Daten abgefragt werden wie im Bereich Banking oder E-Commerce. Ferner ist der Nutzer so vor Phishing und Sniffing geschützt. Außerdem ist HTTPS seit dem Jahr 2014 ein offizieller Rankingfaktor. Laut einer SISTRIX-Studie ranken codierte Seiten besser.

Browserwarnung von Google Chrome (links), sichere Verbindung (rechts)

Was du bei der Umstellung auf HTTPS beachten musst

Mache zu Beginn einen Crawl deines Internetauftritts, damit du alle URLs erfasst inklusive der Bilder und Skripte. Zusätzlich darfst du nicht vergessen, alle deine Subdomains umzuziehen, beispielsweise alle Länderdomains.

Abgelaufene Zertifikate

Ist das Zertifikat abgelaufen oder ungültig, zeigt der Browser ebenfalls eine nicht sichere Verbindung an. Dadurch verfehlst du dein eigentliches Ziel, nämlich Nutzervertrauen. Wähle dein Zertifikat passend zu deiner Website und deinen Ansprüchen aus. Der Schlüssel sollte mindestens 2.048 Bit lang sein.

Weiterleitungen

Mithilfe der dauerhaften 301-Weiterleitung leitest du jede HTTP-Seite auf HTTPS weiter. Dazu reicht ein Befehl in der .htcaccess-Datei aus, die die Einstellungen des Apache-Servers konfiguriert. Alternativ dazu kannst du den Befehl in der config-Datei mitgeben. Beide Vorgehensweisen erleichtern dir die Arbeit, da du die Änderung nicht in jeder Datei einzeln vornehmen musst. So umgehst du Duplicate Content. Die Suchmaschine wertet sonst die HTTP- und die HTTPS-Version als verschiedene Seiten und erwartet unterschiedliche Inhalte. Vermeide an dieser Stelle sogenannte Redirect-Ketten, also Mehrfachumleitungen.

Interne Verlinkung

Vor allem in der Navigation und im Fließtext solltest du nicht vergessen, die interne Verlinkung anzupassen. Überprüfe diese Verweise auch trotz der 301-Weiterleitung. Je nach CMS kann es sein, dass du das manuell machen musst. Bei sehr vielen internen Links gibt es allerdings auch eine skriptbasierte Lösung, die in der Datenbank alle Links ohne HTTPS sucht und ändert. Hinterlege die hreflang-Attribute im HTML-Head ebenfalls mit HTTPS. Was du zusätzlich bei der internen Verlinkung deiner Website beachten solltest, erfährst du im Whitepaper „Search Engine Optimization für mehr Web Traffic“ der eology GmbH.

Ressourcen

Vergiss bei der Umstellung nicht, auch die eingebundenen Bilder, Skripte und CSS-Dateien über das SSL-/TLS-Zertifikat zu laden. Sonst besteht die Gefahr, dass Mixed Content (HTTP und HTTPS) entsteht. Das verzögert die Indexierung oder verhindert diese im schlimmsten Fall sogar. Außerdem stuft der Browser Seiten mit Mixed Content als „Nicht sicher“ ein. An dieser Stelle solltest du auch deine Embedded Inhalte wie Tweets, YouTube-Videos oder Werbung überprüfen.

Backlinks & Social Media-Links

Versuche, wenn möglich, trafficstarke Backlinks auf HTTPS anzupassen. Welche besonders viel Traffic liefern, findest du zum Beispiel in Google Analytics heraus. Kontaktiere dazu die Linkgeber und Webmaster, normalerweise gibt es keine Probleme das Linkziel abzuändern. Gegebenenfalls kannst du die Aktualisierung auch selbst vornehmen, beispielsweise bei Branchenbüchern. Vergiss in diesem Zusammenhang auch die Verweise auf den Social Media Kanälen nicht. Ebenfalls wichtig ist der Link auf Google MyBusiness. Ohne Anpassung laufen die Daten daraus weiterhin auf die HTTP-Seite in der Google Search Console.

Canonical Tags

Der Canonical-Tag zeigt Google bei Duplicate Content, welche URL in den Index soll. Damit auch hier alles seine Richtigkeit hat, solltest du den Tag mit der HTTPS-Adresse versehen. Allein so spielt Google die richtige Variante im Index beziehungsweise in den Suchergebnissen aus.

Paid Advertising

Nur wenn du deine PPC-Zielseiten auf HTTPS umstellst, wird dein Zielseitenwert nicht beeinflusst. Andernfalls bekommt der Nutzer eine unschöne Meldung angezeigt: „Nicht sicher“. Der Nutzer ist verunsichert. Vor allem wenn du Anzeigen schaltest, ist das problematisch.

Sitemap

Die XML-Sitemap ist für Google eine Art Inhaltsverzeichnis einer Website. Sie erleichtert dem Bot das Crawling. Deshalb ist es wichtig, dass du diese bei der Umstellung auf HTTPS ebenfalls überarbeitest. Die Anpassung solltest du auch in der Google Search Console vornehmen und dort beobachten. Das erleichtert der Suchmaschine die Arbeit, da sie die neuen URLs schneller, einfacher und direkt findet, was wiederum das Crawling-Budget entlastet. Sind die Google News für dich relevant, solltest du dort ebenso die Sitemap erneuern. Das musst du allerdings bei Google direkt beantragen. Vergiss darüber hinaus die HTML-Sitemap nicht.

Google Search Console und Google Analytics

Da es sich bei den beiden Varianten streng genommen um zwei verschiedene Seiten handelt, musst du in der Google Search Console für deine HTTPS-Seite eine neue Property anlegen. Lösche allerdings die HTTP-Version nicht, sonst kannst du kein Controlling und Monitoring mehr durchführen. Beim neuen Account musst du das Geo-Targeting und das Disavow-File neu definieren sowie die URL-Parameter neu konfigurieren. In der Console kannst du wichtige Seiten über „Abruf wie bei Google“ direkt bei Google einreichen. Des Weiteren musst du die Search Console neu mit Analytics verknüpfen, damit die Daten ankommen. Es hilft außerdem, wenn du in den Analytics-Einstellungen bei „Properties und Datenansicht“ HTTPS einstellst. Vermerke deine Änderungen in den Analytics Notizen, damit du sie später nachvollziehen kannst.

Robots.txt

Stelle sicher, dass zum einen die Robots.txt-Datei selbst unter HTTPS erreichbar ist. Zum anderen musst du gewährleisten, dass du in der Datei selbst alles auf HTTPS umstellst. Denn sonst gibt es Probleme beim Crawling, da der Bot nur auf die Seiten geht, auf die er darf.

Und danach?

Du hast alle Punkte beachtet und deine Website auf HTTPS umgestellt? Jetzt gilt es, die Seite permanent zu monitoren. Nur so identifizierst du frühzeitig Fehler und kannst gegensteuern. Behalte dafür vor allem die Indexierung, den Traffic, die Rankings und die Sichtbarkeit im Auge. Bei den Klicks und Impressionen sollten die der HTTP-Variante sinken, die der HTTPS steigen. Bedenke, dass es bei großen Seiten bis zu einem Jahr dauern kann, bis alle HTTPS-Seiten in den Index laufen und die HTTP wegfallen. Kleinere Rankingschwankungen sind dabei normal, wenn du allerdings große Veränderungen feststellst, solltest du nach dem Problem forschen.

Die Autorin

Ann-Kathrin Grottke

Ann-Kathrin Grottke hat Medienmanagement studiert und ist Teil des eology Marketing Teams. Sie kümmert sich um die Verbreitung des gesammelten eology Wissens und teilt ihr Knowhow in Magazinen und Blogs.