Google hat im August letzten Jahres in seinem Webmaster Central Blog verlautbart, dass HTTPS künftig als ein Faktor beim Ranking auf deren Suchergebnis-Seiten (SERPs) herangezogen wird. Das heißt vereinfacht gesagt, dass Seiten, die unter HTTPS laufen – unter identen sonstigen Voraussetzungen – vorgereiht werden gegenüber Seiten, die das nicht tun.
Um Seitenbetreibern Zeit für die Umstellung zu geben, ist dieser Vorteil vorerst im Vergleich zu anderen Faktoren noch schwächer gewichtet (Stand 08/2014: kommt nur bei 1% der Suchanfragen zum Tragen), er wird aber in Zukunft an Bedeutung zunehmen.
Ist das wichtig für mich?
Solange Ihnen Suchmaschinenoptimierung (SEO) und Sicherheit am Herzen liegt – ja, durchaus!
HTTP, HTTPS, SSL, TLS – was ist das eigentlich alles?
Der Aufruf von Inhalten im Browser erfolgt im Regelfall über eines der folgenden beiden Kommunikations-Protokolle:
- HTTP (Hypertext Transport Protocol)
- HTTPS (Hypertext Transport Protocol Secure oder auch HTTP over TLS genannt)
Der entscheidende Unterschied zwischen den beiden ist, dass bei HTTPS vor der eigentlichen Kommunikation eine Authentifizierung stattfindet (also die beiden „Gesprächspartner“ gegenseitig ihre Identität prüfen) und die zu schickenden Daten verschlüsselt werden, wodurch die Übertragung selbiger als abhörsicher gilt.
Daten, die hingegen über HTTP übertragen werden, sind unter bestimmten Grundvoraussetzungen für jeden als Klartext lesbar.
SSL steht für Secure Sockets Layer und ist die veraltete Bezeichnung für ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.
TLS steht für Transport Layer Security und ist quasi der moderne Nachfolge-Begriff für SSL. Umgangsprachlich wird dennoch nach wie vor häufiger der eigentlich veraltete Begriff SSL verwendet.
Hat HTTPS auch Nachteile?
Keine Vorteile, wo es nicht auch Nachteile gibt. So auch hier. Die beiden Haupt-Nachteile sind
- laufend anfallenden Zertifikats-Kosten: abhängig vom
- gewählten Zertifikat
- der Dauer der Vertragsbindung
- dem Anbieter
variieren die Preise zwischen wenigen EUR für ein Einzelzertifikat bis zu einer mittleren 3stelligen EUR-Summe für ein Wildcard-Zertifikat.
- leichte Einbußen in der Performance: die Authentifizierung, Verschlüsselung der Daten auf der einen sowie deren Entschlüsselung auf der jeweils anderen Seite benötigt bei jedem einzelnen Aufruf ein kleines bisschen zusätzliche Zeit. Hier ist aber i.d.R. von wenigen Millisekunden die Rede, einer Zeitspanne also, die beim Großteil der Webauftritte in der Praxis nicht merklich ins Gewicht fällt und verkraftbar ist.
Ein Nachteil, der per se rein garnichts mit HTTPS zu tun hat, allerdings bei der Umstellung der Webseite tragend wird, ist, dass die Counter der Social Sharing Tools (bei denen angezeigt wird, wie viele User den Inhalt schon geshared, geliked, getweetet,… wie z.B. AddThis) wieder auf 0 zurückgesetzt werden. Ursache ist, dass sie sich an der URL des geteilten Inhalts orientieren. Da diese sich ändert, beginnen die Counter wieder von vorne zu zählen.
Warum haben wir das nicht schon von Anfang an verwendet?
Bis dato wurde HTTPS hauptsächlich für Webanwendungen verwendet, bei denen sensible (Benutzer)daten übermittelt wurden.
Im Falle von Webshops war das zum Beispiel…
- bei der Registrierung
- im Login
- im gesamten Benutzerkonto-Bereich
- während des gesamten Checkouts
- im gesamten Backend-Bereich
- bei div. Schnittstellen
Da Suchmaschinen nach wie vor die Performance eines Webauftritts in das Ranking einfließen lassen, war die Verwendung von HTTPS aufgrund der damit verbundenen leichten Performance-Einbußen bisher aus diesem Aspekt heraus gesehen eher ein Nachteil.
Außerdem scheuten viele Seitenbetreiber verständlicherweise periodische Kosten ohne erkennbaren weiteren Nutzen.
Welche Zertifikats-Typen gibt es?
Im wesentlichen gibt es 3 unterschiedliche Zertifikatstypen:
- Einzel-Zertifikat
- Inhaber-Zertifikat mit der Sonderform, dem
- Wildcard-Zertifikat
- Enterprise Verification Zertifikat
Hier die wesentlichen Unterschiede in aller Kürze tabellarisch aufgelistet:
| Einzel | Inhaber | Wildcard | Enterprise Verification | |
|---|---|---|---|---|
| Kosten (ca., EUR) | - unterer 2stelliger Bereich | + Einzel x 5 | +++ Inhaber x 3 | ++ Inhaber x 2,5 |
| Anzahl Subdomains | 1 | 1 | unbegrenzt | 1 |
| Datenverschlüsselung bei Übertragung | ja | ja | ja | ja |
| Prüfung d. Inhaberdaten | nein | ja | ja | ja |
| Erweiterte Prüfung d. Inhaberdaten | nein | nein | nein | ja |
| Höhe Versicherungsschutz (USD) | 0 | 250.000 | 250.000 | 500.000 |
| Anzeige Site Seal erlaubt | nein | ja | ja | ja |
Man erkennt sehr gut, dass der einzige funktionale Unterschied des Wildcard-Zertifikats gegenüber dem Inhaber-Zertifikat der ist, dass es nicht auf einen bestimmten Hostnamen beschränkt ist (also z.B. www.limesoda.com/blog), sondern es alle Subdomains zu einer Domain umfasst (also z.B. www.limesoda.com, www.limesoda.com/blog, limetools.limesoda.com,…). I.d.R ist ein Wildcard-Zertifikat preislich ab 3 unterschiedlichen Domains günstiger als einzelne Inhaber-Zertifikate.
Site Seals sind kleine grafische Elemente, die meist im Footer oder der Sidebar der Webauftritte platziert sind und nochmals auf die Verschlüsselung der Seite hinweisen. Klickt man darauf, öffnet sich ein Fenster mit weiteren Details zum Zertifikat.
Es gibt doch auch kostenlose SSL-Zertifikate…
Ja, das ist richtig. Die Qualitätsstandards können allerdings nicht mit denen kostenpflichtiger Anbieter mithalten. Wir empfehlen daher, davon abzusehen und in ein kostenpflichtiges Angebot zu investieren.
Wie erkenne ich als Besucher, ob die Seite sicher ist?
Die absolute Grundvoraussetzung dafür, dass die Seite sicher ist, ist die Verwendung des richtigen Protokolls, also HTTPS. D.h. die URL, die Sie in der Adressleiste Ihres Browsers sehen, muss mit „https://“ beginnen.
Je nachdem,
- mit welchem Browser Sie die Seite besuchen
- mit welchem Zertifikat die Seite abgesichert ist
- ob das Zertifikat von Ihrem Browser als vertrauenswürdig eingestuft wird (das ist tatsächlich browserabhängig, d.h. es kann z.B. im Google Chrome am Desktop funktionieren während derselbe Aufruf auf Ihrem Handy eine Warnung liefert)
sieht die URL-Leiste ähnlich wie folgt aus:
- Zertifikat nicht vertrauenswürdig/ungültig
nicht vertrauenswürdiges / ungültiges Zertifikat
- gültiges Einzel-Zertifikat
gültiges Einzel-Zertifikat
- gültiges Inhaber- oder Wildcard-Zertifikat (optisch nicht unterscheidbar)
gültiges Inhaber-Zertifikat (evtl. auch Wildcard-Zertifikat)
- gültiges Enterprise Verification-Zertifikat
gültiges Enterprise Verification Zertifikat
Was ist konkret zu tun?
- Prüfen Sie, ob Sie für Ihren Webauftritt bereits ein SSL-Zertifikat besitzen.
- Falls nicht
- Bestellung eines SSL-Zertifikats:
Da dieses am Server, auf dem die Webseite gehostet wird, installiert werden muss, ist es i.d.R. am einfachsten, das Zertifikat vom Webserver-Provider zu beziehen. - Installation des SSL-Zertifkats am Server:
Diese Aufgabe übernimmt zur Gänze Ihr Provider.
- Bestellung eines SSL-Zertifikats:
- Anpassungen an der zugrunde liegenden Software:
Abhängig vom System, das Sie verwenden, dem Setup und den Schnittstellen dorthin sind unterschiedlich umfangreiche Anpassungen am Code notwendig. Diese müssen vom technischen Betreuer Ihres Webauftritts vorgenommen werden. - Einrichtung von Weiterleitungen der alten auf die neuen URLs:
Damit die Suchmaschinen nicht beginnen, die gesamte Seite neu zu indizieren und die Rankings von den alten auf die neuen URLs übertragen werden, müssen automatische Weiterleitungen eingerichtet werden. Entscheidend ist dabei die Rückgabe des korrekten HTTP-Status 301 „Moved Permanently“. - Aktualisierung der Google Sitemap
- Aktualisierung der Konfigurationen in…
- Google Tag Manager
- Google Analytics
- Google/Bing Webmaster Tools
- ggf. Anpassung Monitoring Software, automatisierter Testfälle, Schnittstellen,… (also jeglichen Codes, in dem die URL verwendet wird)
Pfuh – geht’s auch einfacher?
Kontaktieren Sie Ihren Ansprechpartner bei LimeSoda – wir prüfen dann, ob Sie bereits im Besitz eines Zertifikats sind und unterstützen Sie bei allen weiteren Schritten!