LimeSoda Blog ☰ Zeige Kategorien

HTTPS als Ranking-Faktor bei Google – ein guter Zeitpunkt umzustellen!

Google hat im August letzten Jahres in seinem Webmaster Central Blog verlautbart, dass HTTPS künftig als ein Faktor beim Ranking auf deren Suchergebnis-Seiten (SERPs) herangezogen wird. Das heißt vereinfacht gesagt, dass Seiten, die unter HTTPS laufen – unter identen sonstigen Voraussetzungen – vorgereiht werden gegenüber Seiten, die das nicht tun.

Um Seitenbetreibern Zeit für die Umstellung zu geben, ist dieser Vorteil vorerst im Vergleich zu anderen Faktoren noch schwächer gewichtet (Stand 08/2014: kommt nur bei 1% der Suchanfragen zum Tragen), er wird aber in Zukunft an Bedeutung zunehmen.

Ist das wichtig für mich?

Solange Ihnen Suchmaschinenoptimierung (SEO) und Sicherheit am Herzen liegt – ja, durchaus!

HTTP, HTTPS, SSL, TLS – was ist das eigentlich alles?

Der Aufruf von Inhalten im Browser erfolgt im Regelfall über eines der folgenden beiden Kommunikations-Protokolle:

  1. HTTP (Hypertext Transport Protocol)
  2. HTTPS (Hypertext Transport Protocol Secure oder auch HTTP over TLS genannt)

Der entscheidende Unterschied zwischen den beiden ist, dass bei HTTPS vor der eigentlichen Kommunikation eine Authentifizierung stattfindet (also die beiden „Gesprächspartner“ gegenseitig ihre Identität prüfen) und die zu schickenden Daten verschlüsselt werden, wodurch die Übertragung selbiger als abhörsicher gilt.

Daten, die hingegen über HTTP übertragen werden, sind unter bestimmten Grundvoraussetzungen für jeden als Klartext lesbar.

SSL steht für Secure Sockets Layer und ist die veraltete Bezeichnung für ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

TLS steht für Transport Layer Security und ist quasi der moderne Nachfolge-Begriff für SSL. Umgangsprachlich wird dennoch nach wie vor häufiger der eigentlich veraltete Begriff SSL verwendet.

Hat HTTPS auch Nachteile?

Keine Vorteile, wo es nicht auch Nachteile gibt. So auch hier. Die beiden Haupt-Nachteile sind

  1. laufend anfallenden Zertifikats-Kosten: abhängig vom
    1. gewählten Zertifikat
    2. der Dauer der Vertragsbindung
    3. dem Anbieter

    variieren die Preise zwischen wenigen EUR für ein Einzelzertifikat bis zu einer mittleren 3stelligen  EUR-Summe für ein Wildcard-Zertifikat.

  2. leichte Einbußen in der Performance: die Authentifizierung, Verschlüsselung der Daten auf der einen sowie deren Entschlüsselung auf der jeweils anderen Seite benötigt bei jedem einzelnen Aufruf ein kleines bisschen zusätzliche Zeit. Hier ist aber i.d.R. von wenigen Millisekunden die Rede, einer Zeitspanne also, die beim Großteil der Webauftritte in der Praxis nicht merklich ins Gewicht fällt und verkraftbar ist.

Ein Nachteil, der per se rein garnichts mit HTTPS zu tun hat, allerdings bei der Umstellung der Webseite tragend wird, ist, dass die Counter der Social Sharing Tools (bei denen angezeigt wird, wie viele User den Inhalt schon geshared, geliked, getweetet,… wie z.B. AddThis) wieder auf 0 zurückgesetzt werden. Ursache ist, dass sie sich an der URL des geteilten Inhalts orientieren. Da diese sich ändert, beginnen die Counter wieder von vorne zu zählen.

Warum haben wir das nicht schon von Anfang an verwendet?

Bis dato wurde HTTPS hauptsächlich für Webanwendungen verwendet, bei denen sensible (Benutzer)daten übermittelt wurden.

Im Falle von Webshops war das zum Beispiel…

  • bei der Registrierung
  • im Login
  • im gesamten Benutzerkonto-Bereich
  • während des gesamten Checkouts
  • im gesamten Backend-Bereich
  • bei div. Schnittstellen

Da Suchmaschinen nach wie vor die Performance eines Webauftritts in das Ranking einfließen lassen, war die Verwendung von HTTPS aufgrund der damit verbundenen leichten Performance-Einbußen bisher aus diesem Aspekt heraus gesehen eher ein Nachteil.

Außerdem scheuten viele Seitenbetreiber verständlicherweise periodische Kosten ohne erkennbaren weiteren Nutzen.

Welche Zertifikats-Typen gibt es?

Im wesentlichen gibt es 3 unterschiedliche Zertifikatstypen:

  1. Einzel-Zertifikat
  2. Inhaber-Zertifikat mit der Sonderform, dem
    1. Wildcard-Zertifikat
  3. Enterprise Verification Zertifikat

Hier die wesentlichen Unterschiede in aller Kürze tabellarisch aufgelistet:

 EinzelInhaberWildcardEnterprise Verification
Kosten (ca., EUR)-
unterer 2stelliger Bereich
+
Einzel x 5
+++
Inhaber x 3
++
Inhaber x 2,5
Anzahl Subdomains11unbegrenzt1
Datenverschlüsselung bei Übertragungjajajaja
Prüfung d. Inhaberdatenneinjajaja
Erweiterte Prüfung d. Inhaberdatenneinneinneinja
Höhe Versicherungsschutz (USD)0250.000250.000500.000
Anzeige Site Seal erlaubtneinjajaja

Man erkennt sehr gut, dass der einzige funktionale Unterschied des Wildcard-Zertifikats gegenüber dem Inhaber-Zertifikat der ist, dass es nicht auf einen bestimmten Hostnamen beschränkt ist (also z.B. www.limesoda.com/blog), sondern es alle Subdomains zu einer Domain umfasst (also z.B. www.limesoda.com, www.limesoda.com/blog, limetools.limesoda.com,…). I.d.R ist ein Wildcard-Zertifikat preislich ab 3 unterschiedlichen Domains günstiger als einzelne Inhaber-Zertifikate.

Site Seals sind kleine grafische Elemente, die meist im Footer oder der Sidebar der Webauftritte platziert sind und nochmals auf die Verschlüsselung der Seite hinweisen. Klickt man darauf, öffnet sich ein Fenster mit weiteren Details zum Zertifikat.

Es gibt doch auch kostenlose SSL-Zertifikate…

Ja, das ist richtig. Die Qualitätsstandards können allerdings nicht mit denen kostenpflichtiger Anbieter mithalten. Wir empfehlen daher, davon abzusehen und in ein kostenpflichtiges Angebot zu investieren.

Wie erkenne ich als Besucher, ob die Seite sicher ist?

Die absolute Grundvoraussetzung dafür, dass die Seite sicher ist, ist die Verwendung des richtigen Protokolls, also HTTPS. D.h. die URL, die Sie in der Adressleiste Ihres Browsers sehen, muss mit „https://“ beginnen.

Je nachdem,

  • mit welchem Browser Sie die Seite besuchen
  • mit welchem Zertifikat die Seite abgesichert ist
  • ob das Zertifikat von Ihrem Browser als vertrauenswürdig eingestuft wird (das ist tatsächlich browserabhängig, d.h. es kann z.B. im Google Chrome am Desktop funktionieren während derselbe Aufruf auf Ihrem Handy eine Warnung liefert)

sieht die URL-Leiste ähnlich wie folgt aus:

  1. Zertifikat nicht vertrauenswürdig/ungültig
    nicht vertrauenswürdiges / ungültiges Zertifikat

    nicht vertrauenswürdiges / ungültiges Zertifikat

  2. gültiges Einzel-Zertifikat
    gültiges Einzel-Zertifikat

    gültiges Einzel-Zertifikat

  3. gültiges Inhaber- oder Wildcard-Zertifikat (optisch nicht unterscheidbar)
    gültiges Inhaber-Zertifikat (evtl. auch Wildcard-Zertifikat)

    gültiges Inhaber-Zertifikat (evtl. auch Wildcard-Zertifikat)

  4. gültiges Enterprise Verification-Zertifikat
    gültiges Enterprise Verification Zertifikat

    gültiges Enterprise Verification Zertifikat

Was ist konkret zu tun?

  1. Prüfen Sie, ob Sie für Ihren Webauftritt bereits ein SSL-Zertifikat besitzen.
  2. Falls nicht
    1. Bestellung eines SSL-Zertifikats:
      Da dieses am Server, auf dem die Webseite gehostet wird, installiert werden muss, ist es i.d.R. am einfachsten, das Zertifikat vom Webserver-Provider zu beziehen.
    2. Installation des SSL-Zertifkats am Server:
      Diese Aufgabe übernimmt zur Gänze Ihr Provider.
  3. Anpassungen an der zugrunde liegenden Software:
    Abhängig vom System, das Sie verwenden, dem Setup und den Schnittstellen dorthin sind unterschiedlich umfangreiche Anpassungen am Code notwendig. Diese müssen vom technischen Betreuer Ihres Webauftritts vorgenommen werden.
  4. Einrichtung von Weiterleitungen der alten auf die neuen URLs:
    Damit die Suchmaschinen nicht beginnen, die gesamte Seite neu zu indizieren und die Rankings von den alten auf die neuen URLs übertragen werden, müssen automatische Weiterleitungen eingerichtet werden. Entscheidend ist dabei die Rückgabe des korrekten HTTP-Status 301 „Moved Permanently“.
  5. Aktualisierung der Google Sitemap
  6. Aktualisierung der Konfigurationen in…
    1. Google Tag Manager
    2. Google Analytics
    3. Google/Bing Webmaster Tools
  7. ggf. Anpassung Monitoring Software, automatisierter Testfälle, Schnittstellen,… (also jeglichen Codes, in dem die URL verwendet wird)

Pfuh – geht’s auch einfacher?

Kontaktieren Sie Ihren Ansprechpartner bei LimeSoda – wir prüfen dann, ob Sie bereits im Besitz eines Zertifikats sind und unterstützen Sie bei allen weiteren Schritten!

Noch keine Bewertungen.
Bitte warten...

Kommentare

  • Da bin ich ganz eurer Meinung. Auch mir entgeht der tiefere Sinn dieser Maßnahme (da der Verschlüsselungsprozess die Seite ja auch – marginal, aber doch – langsamer macht und für Google ja Performance genauso wichtig ist).
    Meines Wissens nach macht Google keinen Unterschied zwischen kostenlosen und kostenpflichtigen Zertifikaten (allerdings kann es z.B. dazu kommen, dass manche Browser das kostenlose Zertifikat als ungültig ausweisen und eine Warnung beim Seitenbesuch anzeigen, was kontraproduktiv ist).

    Antworten
  • Dem stimme ich zu. In unserem Online Shop haben wir seit je her ein Zertifikat – ohne ist unseriös. Wozu jetzt aber „https everywhere“ dienen soll ist mir ein Rätsel. Um Kosten zu sparen kann man ja wie im Artikel beschrieben auf Gratis Zertifikate für normale Websites zurückgreifen. Ode runterscheidet hier google dann auch ?

    Antworten
  • Warum soll bitte eine „normale“ Website mit einem https – Zertifikat ausgestattet werden? Was soll den da geschützt werden? Bei einem Onlineshop, eBanking, etc – ok da ist es aber eh bereits eine de facto Pflicht. Was will google den damit bloß erreichen ?

    Antworten
  • Ich habe in meinem Beitrag geschrieben, dass die Counter der Social Sharing Tools bei der Umstellung der URLs auf HTTPS auf 0 zurückgesetzt werden. Wir sind gerade anhand unseres eigenen Blogs draufgekommen, dass das nur zum Teil stimmt:
    Facebook setzt den Counter definitiv auf 0 zurück, bei Google+ bleibt er allerdings offensichtlich erhalten. Daher haben auch einige unserer alten Blogposts, die aus der Zeit vor der Umstellung stammen, noch vereinzelte Interaktionen.

    Antworten

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Claudia Köninger

Verpasse nicht den nächsten Blog-Post von Claudia!

Jetzt zum LimeSoda-Newsletter anmelden