Von http auf https umstellen

So stellt man seine Webseite auf SSL Verschlüsselung um

http auf https umstellen
Foto: von Flickr-User vincent lee

Google hat vor kurzem über seinen Webmaster Blog verkündet, dass die SSL Verschlüsselung einer Seite offiziell auch ein Rankingkriterium ist. Neben den nun vermeintlichen Rankingbonus bietet eine SSL Verschlüsselung auch für normale Webseiten weitere Vorteile.

  1. Eine sichere Verbindung erhöht das Vertrauen der User
  2. Kann zu einer höheren Conversion Rate führen
  3. Sperrt hoffentlich die NSA und andere Schnüffler aus
  4. Soll das Google Ranking positiv beeinflussen

SSL Zertifikate  vs. EV SSL Zertifikat wo ist der Unterschied?

Mal eben auf SSL Verschlüsselung umstellen.  Ja, das wäre zu schön um wahr zu, wenn das so einfach wäre, wie man es ausspricht. In Wahrheit ist das Thema nicht ganz trivial. Das fängt schon bei der Auswahl der richtigen Serverzertifikate an. Denn ein SSL Zertifikat ist nicht gleich ein SSL Zertifikat. Da gibt es durchaus Unterschiede.  Das fängt schon bei den Ausstellern an. Einige namhafte Aussteller sind GeoTrust, Symantec, Thawte und VeriSign.  Dann gibt es zusätzlich noch Abstufungen in der Authentifizierung einer Seite.  Es gilt je aufwendiger das Verfahren umso teurer wird es auch am Schluss. Die Preise fangen gehen bei 9,99 € pro Jahr los und könne sogar bis zu 899 € pro Jahr für ein Erweitertes SSL Zertifikat gehen. Auch der Preis für sogenannte Wildcard Zertifikate, also Zertifikate, die sich auch übermehrere Domains und Subdomains auf einen Webservererstrecken sind deutlich teurer.

 

Wer nur einen einfachen Blog oder ein Forum per SSL absichern möchte, für den reicht auch ein einfaches SSL Zertifikat.

Einfaches SSL Zertifikat

Ich habe z.B. zum Test meinen Kaffeeblog mit einem RapidSSL Zertifikat von Geotrust über meinen Hoster zertifizieren lassen.  Wirklich notwendig ist eine Verschlüsselung eigentlich nicht, da aber Google großspurig von einem Rankingvorteil schreibt, teste ich das mal für mich aus.

Wer einen größeren Onlineshop betreibt sollte etwas tiefer in seinen Geldbeutel greifen und in ein EV SSL  Zertifikat sein Geld investieren.

EV SSL Zertifikat

Anmerkung: Diese Zertifikate stehen nur Onlineshops zur Verfügung, die auch offiziell im Handelsregister eingetragen sind.  EV steht für Extended Validation hier wird die Identität der  Betreiber  gründlich geprüft und bestimmte Dokumente müssen ausgefüllt an den Aussteller zurückgesendet werden, zudem erfolgt meist auch ein  kurzes Telefoninterview und der ganze Prozess erstreckt sich über mehrere Werktage. Dafür wird am Ende auch der eigene Firmenname in der Adressleiste grün mit eingeblendet. Das soll den User sofort anzeigen, das er sich auf der richtigen Seite des Unternehmens befindet und bietet einen besseren Schutz vor Phishing-Attacken.  Letztendlich soll es das Vertrauen der Konsumenten in die Seite stärken und so die Conversion erhöhen. Große Banken und Handelsportal nutzen solch ein SSL Zertifikat.

SEO und die Umstellung auf SSL: Wo sind hier die Fallstricke?

Auch SEO technisch ist die Umstellung nicht ganz trivial. Wer es nicht richtig macht kann seine hart erarbeiteten  Rankings in die ewigen Jagdgründe verbannen.  Denn  wer seinen Webserver zusätzlich per SSL verschlüsselt, macht seine Inhalte über  zwei unterschiedliche URLS erreichbar und das ist für Google Doppelter Content (DC). Zum Glück gibt es für dieses Problem eine schnelle Lösung:

Per .htaccess Eintrag doppelten Content  durch SSL vermeiden – So geht’s:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Dieser Eintrag bewirkt, dass alle http Anfragen, auf die https Version der Website weitergeleitet werden.

Das Gleiche geht natürlich auch umgekehrt, also eine Umleitung von https auf http:

RewriteEngine On
RewriteCond %{SERVER_PORT} 443
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Aber das ist noch nicht alles. Auch die internen Links und alle anderen  Links die von außen auf die Website zeigen sollten auf https direkt umgestellt werden.  Die Weiterleitung kann nur  eine Krücke sein, um nicht wegen DC abgestraft zu werden.  Wer sich etwas tiefer mit der Suchmaschinenoptimierung befasst hat, weiß dass eine 301 Weiterleitung, wie oben aufgeführt, immer auch einen Teil des heiß begehrten Google Linkjuice reduziert. Also drängt darauf auch die Links auf externen Websites abzuändern. Wenn es sich dabei nur um ein oder zwei Links handelt mag das ja noch vernachlässigbar sein, aber bei größeren Projekten mit vielen externen Links kann sowas auch das Top-Ranking kosten!

Wenn der Browser die Website trotz HTTPS  als unsicher markiert, was nun?

Inscure Element
Foto von Flickr-User Nick Carter

Einfach ein SSL Zertifikat beantragen und SEO-konform umstellen reicht nicht. Es gibt noch häufig Schwierigkeiten mit externen Ressourcen, die auf der Webseite eingebunden sind, z.B. Werbebanner Grafiken, CSS-Styles und  Javascript Dateien. Werden diese nicht auch per HTTPS referenziert, bekommt der User kein grünes Schloss in der Adressleiste angezeigt und bei manchen Webbrowsern eine irreführende Warnmeldung.

Meist ist dann die Rede von unsicheren  Seitenelementen, die das Erscheinungsbild der Webseite durch Dritte erlauben. Der Normaluser kann im „besten“ Fall nichts mit dieser Meldung anfangen und ignoriert sie einfach.  Oder er gerät im schlimmsten Fall derart  in Panik, dass er den Webmaster mit E-Mails oder Telefonanrufen nötigt, oder einfach  die Seite fluchtartig verlässt. Das ist für die Conversion und den eigenen Ruf gar nicht gut. Übrigens, auch Affiliate -Links sollten als https Links ausgezeichnet werden, damit der Referer übertragen wird. Die Affiliate-Netzwerke können hierzu aber besser Auskunft geben, wie man das richtig umsetzt.

SSL Schwachstellen finden

https SSL Verschlüsselung
Wer nicht täglich Webserver auf SSL umstellt, schaut erst mal verdutzt und fragt sich, welche  Elemente „insecure“, also unsicher sein sollen.  Das Netz bietet hierfür eine schnelle Antwort. Diese Seite https://www.whynopadlock.com/ findet alle SSL Schwachstellen der Webseite und deckt auf, wo Ihr nacharbeiten solltet. Einfach die URL der Seite eingeben und die unverschlüsselten Seitenelemente werden rot aufgelistet.

WordPress SSL fähig machen

Für die oben genannten  Probleme gibt es für WordPress ein paar schöne Lösungen, die ich im Netz gefunden habe, oder mir die WP Community empfohlen hat:

  • Das Suchen und Ersetzen Plugin, das Bueltge übersetzt hat – https://bueltge.de/wp-suchen-und-ersetzen-de-plugin/114/ ( Nicht nur für dieses Problem genial. Mit diesem Plugin kann man alle internen Links schnell in https links umwandeln, oder in relative Links umwandeln)
  • Das Plugin WordPress HTTPS – https://wordpress.org/plugins/wordpress-https/ (Es hat alle meine SSL Probleme  mit Thumbnails auf Anhieb gelöst, sehr empfehlenswert!)
  • Auch in der WP-Config.php kann der Webmaster ganz einfach die Basis URL von  http auf https umstellen. Das sollte eigentlich die meisten Probleme lösen, hier der Eintrag für die wp-config.php:

define(‘WP_SITEURL’, ‘https://kaffee-freun.de’);

define(‘WP_HOME’, ‘https://kaffee-freun.de’);

Auch die Nutzung relativer URLs für die Referenzierung von CSS, Java und Bilddateien,  kann für die Umstellung auf SSL nützlich sein. Nebenbei reduzieren diese,  die http Anfragen an den Server und trägt so mit zur Ladezeitenoptimierung bei, aber das ist ein anderes Thema.

Nach oben scrollen