Safety first! Das Thema Website-Sicherheit ist spätestens seit 2014 in aller Webmaster-Munde. In diesem Jahr gab Google bekannt, dass das HTTPS-Protokoll als Ranking-Faktor die Platzierung in den SERPs beeinflussen kann. Zu einem funktionierenden SEO-Konzept sollte deshalb – falls noch nicht geschehen – die Umstellung von HTTP auf HTTPS gehören. Die folgenden Punkte beim HTTPS-Einrichten gibt’s zu beachten!

Schritt-für-Schritt-Anleitung und Kontroll-Tool in einem: Alle, die noch kein Sicherheitszertifikat auf Ihrer Website verwenden, finden hier ein How-To für die Einrichtung. Diejenigen, die die Umstellung bereits vollzogen haben, können mit dem Beitrag überprüfen, ob Sie an allen Stellen der Website an die Umstellung gedacht haben.

HTTPS – was ist das?

Das der Domain vorangestellte “http://” in der Adresszeile des Browsers dürfte vielen bekannt sein. Ein Hypertext Transfer Protocol ist vor allem dafür zuständig, die Daten von Websites in den Webbrowser zu übertragen. Das Hypertext Transfer Protocol Secure übernimmt ebenfalls diese Aufgabe, überträgt die Dateien allerdings abhörsicher. Während bei Verwendung von Variante eins der User nicht sicher sein kann, ob seine Daten nicht bei einem Hacker statt beim Websitebetreiber landen, schützt die Übermittlung mit HTTPS genau vor solchen Phänomenen.

https-browser-firefox

https-browser-chrome

Zunächst hatten vor allem Online-Shops und Seiten, die mit vertraulichen Kundendaten arbeiten, die Umstellung auf HTTPS vorgenommen. Mittlerweile ist die Verschlüsselung ein Trust-Element für User und damit auch für Suchmaschinen. Viele Websitebetreiber stützen sich auf diese sichere Protokollform, zumal die entsprechenden Zertifikate günstig oder sogar kostenlos erhältlich sind.

Welches SSL-Zertifikat benötige ich?

Das “S” in HTTPS steht für das SSL-Zertifikat (oder TLS-Zertifikat), welches hinzugefügt wird, um Datendiebstahl und Datenmissbrauch zu verhindern. Die Zertifikate gibt sind mit unterschiedlichem Umfang und verschiedenen Sicherheitsstufen erhältlich. Abhängig davon, welches Betrugsrisiko auf Ihrer Website besteht und welchen Wert Sie auf Glaubwürdigkeit und Vertrauen legen, können Sie das entsprechende Zertifikat auswählen.

Do’s & Dont’s – Maßnahmen bei der Umstellung

Im Laufe der Installation und Konfiguration gibt es zahlreiche Fehlerquellen: Angefangen bei der richtigen Weiterleitungen sind auch verschiedenste Verweise von der HTTPS-Umstellung betroffen. Da der Ranking-Faktor Website-Sicherheit für Nutzer und Suchmaschinen immer wichtiger wird, steht die fehlerfreie Umsetzung an erster Stelle.

https-einrichten-website-sicherheit

> Weiterleitungen

Ihre Website ist mit HTTP und mit HTTPS aufrufbar? Dann scheint bei der Umstellung etwas schief gelaufen zu sein! Ist das Zertifikat eingebunden, muss die ältere HTTP-Version mit einer 301-Weiterleitung auf die neue HTTPS-Version umgeleitet werden. Die entsprechende Einstellung nehmen Sie in der htaccess-Datei auf Ihrem Server vor, wobei die notwendigen Befehle je nach Anbieter variieren können.

Wird die Weiterleitung 1:1 korrekt vorgenommen worden, müssen Sie keine Angst vor größeren Rankingverlusten haben. Mutmaßlich alternative Varianten mit noindex- oder canonical-Attributen stellen keine permanente Weiterleitung dar und sollten deshalb nicht verwendet werden.

> Bild-Dateien weiterleiten

Nicht nur die einzelnen Seiten Ihrer Internetpräsenz werden auf HTTPS umgestellt, auch Ressourcen wie Bilder, PDFs oder CSS-Dateien dürfen Sie nicht vergessen! Wie den Duplicate Content (Erreichbarkeit der Seite mit HTTP und HTTPS) gilt es auch gemixte Versionen der Website (z.B. HTTPS-Seite mit HTTP-Bildern) zu vermeiden.

> Interne Verlinkung

Wer im Bereich der internen Verlinkung gute Vorarbeit geleistet hat, kann sich jetzt den Aufwand sparen. Relativ gesetzte Links (das heißt ohne „http://www.domain.de“) geben nur den Pfad der jeweiligen Unterseite an und müssen deshalb nicht abgeändert werden. Bei absolut gesetzten Links ist es notwendig, jeden einzelnen Link zu bearbeiten und das “S” im Protokoll zu ergänzen.

> canonical-Tag und hreflang-Tag

Mit den canonical- und den hreflang-Tags verhält es sich wie mit den internen Verlinkungen: Absolut Links erfordern eine manuelle Bearbeitung. Beim hreflang-Attribut kommt es zusätzlich darauf an, wie die Sprachversionen erstellt wurden:

  • Sprachverzeichnisse werden wie andere Unterseiten mit einem 301-Redirect umgestellt.
  • Für Subdomains müssen sogenannte Wildcard-Zertifikate erworben werden.
  • Haben die Spachversionen eigene TLDs, sind auch eigene Zertifikate notwendig.

> Sitemap

Wenn Sie auf Ihrer Website HTTPS einrichten, ist es wichtig, direkt im Anschluss eine neue Sitemap zu erstellen. Die Generierung können Sie dank kostenloser Online-Tools manuell anstoßen, die neue Sitemap anschließend auf Ihren Server laden und ebenfalls bei der Search Console einreichen.

Eine fehlerfreie Sitemap, die alle Seiten mit dem neuen HTTPS-Protokoll enthält, kann die Indexierung der neuen URLs beschleunigen!

> robots.txt

Wie die Sitemap benötigt auch die robots.txt ein kleines Update nach der HTTPS-Umstellung der Website. In der Datei selbst muss gegebenenfalls nur der Link zur Sitemap korrigiert werden. Viel wichtiger ist die Überprüfung, ob die robots.txt tatsächlich ausschließlich als HTTPS-Version aufrufbar ist. Andernfalls können ungewollte Crawling-Vorgaben an die Suchmaschinen weitergeleitet werden.

> Backlinks

Das Abändern von Backlinks auf die neuere HTTP-Version macht die gesamte Umstellung gleich zu einem viel größeren Akt, sollte aber wenn möglich umgesetzt werden. Kontaktieren Sie die Websitebetreiber und bitten Sie sie um die Aktualisierung des Links – im Regelfall stellt die Anpassung kein Problem dar. Bei Verzeichniseinträgen können Sie sich einfach in Ihren Account einloggen und das Protokoll im Link eigenhändig bearbeiten. Inwiefern dieser Schritt sinnvoll ist, hängt von der Größe der eigenen Seite und der Anzahl der Backlinks ab.

> Google-Tools nicht vergessen

Das HTTPS-Einrichten ist Ihnen gelungen, alle internen Links und Dateien angepasst? Dann besteht der letzte Schritt darin, die Änderung auch in Ihren Google-Tools zu vermerken. Sowohl bei Google Analytics als auch bei der Google Search Console und Google My Business stellt die Protokolländerung eine Umstellung dar.

Beginnen Sie mit den Einträgen in Google My Business: Aktualisieren Sie die vermerkte URL in Ihrem Profil sowie allen Standorten!

Anschließend legen Sie in der Google Search Console eine neue Property für die HTTPS-URL an. Die Property mit der älteren Protokollversion können Sie löschen oder für Beobachtungszwecke noch bestehen lassen. Die neue Property müssen Sie verifizieren und bereits eingereichte Disavow-Files müssen erneut hochgeladen werden.

Als letzten Schritt verknüpfen Sie nun Ihren Google Analytics-Account mit der neuen Search Console-Property. Außerdem ist es empfehlenswert, in den Verwaltungseinstellungen von Google Analytics die “URL der Website” auf HTTPS umzustellen.

https-einrichten-google-analytics

Umstellung kontrollieren

Wer sein Sicherheitszertifikat implementiert und die genannten Hinweise beachtet hat, sollte den Erfolg der HTTPS-Umstellung überprüfen. Dazu gibt es verschiedene Mittel und Wege:

  • Sitemap

Überprüfen Sie in der Sitemap Ihrer Website, ob das Generierungstool noch HTTP-URLs gefunden hat. Überprüfen Sie, wie es dazu kommt, dass einzelne Unterseiten nicht korrekt weitergeleitet werden und beheben Sie den Fehler.

  • site-Abfrage in Google

Um den Indexierungsstatus der HTTPS- und HTTP-URLs zu überprüfen, geben Sie in der Suchzeile “site:ihre-domain.de” ein. Auf diese Weise gibt Google Ihnen alle Unterseite Ihrer Website aus, die indexiert sind. Nach der Umstellung sollten sich keine HTTP-Seiten mehr im Index befinden, wobei die Registrierung der Änderung durch Google einige Zeit in Anspruch nehmen kann.

  • Search Console

Ein Grund, die überholte HTTP-Property in der Search Console noch nicht zu löschen, ist die Kontrolle der gelungenen HTTPS-Einrichtung. Mit der Zeit sollten in die alte Property immer weniger Daten einfließen – das betrifft Klicks, Impressionen wie auch den Indexierungsstatus. Die entsprechenden Kurven in der HTTPS-Property sollten dagegen steigen.

  • “Sicher”-Symbol im Browser

Ist die komplette Website inklusive aller Ressourcen auf HTTPS umgestellt, erscheint in der Adresszeile Ihres Browser ein kleines, grünes Schloss-Symbol und/oder der Wortlaut “Sicher”. Erscheint dieser Hinweis nicht, wurden nicht alle Seiten, Bilder usw. korrekt weitergeleitet und ein Mixed Content-Problem besteht.

https-einrichten-fehlerquellen

  • Rankings

Starke Abfälle im Ranking können ein Hinweis darauf sein, dass die Umstellung nicht geglückt ist. Beobachten Sie deshalb Ihre Rankings über längere Zeit mit einem professionellen Tool!

Trotz der vielen möglichen Fehlerquellen lohnt es sich, die eigene Website mit einem Sicherheitszertifikat auszustatten. Zum einen schafft es bei den Usern Ihrer Website Vertrauen und verhindert das Abfangen sensibler Daten. Zum anderen ist die Website-Sicherheit ein Ranking-Faktor für Google (und andere Suchmaschinen) und in jedem Fall die langfristig sinnvollere Variante. Bei Anregungen oder Fragen steht das seonest-Team gern zur Verfügung!