Mehr Sichehrheit durch HTTPS-Verschüsselung

Mehr Sicherheit mit HTTPS-Verschlüsselung

Die Verschlüsselung von Websites ist nicht nur in Punkto Sicherheit von Bedeutung. Es spielt auch beim Google-Ranking eine Rolle, ob es sich um HTTPS- oder um unverschlüsselte HTTP-Seiten handelt. Und wenn Sie das immer noch nicht überzeugt: Das Vertrauen Ihrer Nutzer hängt ja vielleicht auch an HTTPS?

Aber zunächst einmal eine einleitende Erklärung für die Nicht-Nerds: Beim unverschlüsselten Traffic einer HTTP-Website kann im Prinzip leicht mitgelesen werden, wenn ein Inhalt einen x-beliebigen Server passiert. Bei HTTPS hingegen werden die Daten so verschlüsselt, dass theoretisch nur der Nutzer und eben die besuchte Webseite mitbekommt, was auf der Seite gemacht wird. HTTPS-Seiten lassen sich in der Browser-Zeile unter anderem am kleinen Schloß-Icon erkennen. Für HTTPS-Webseiten kommt TLS (Transport Layer Security) zum Einsatz, welches bekannter sein dürfte unter der vorherigen Bezeichnung SSL (Secure Sockets Layer). Das Verschlüsselungsprotokoll soll eine sichere Verbindung beim Webseiten-Zugriff gewährleisten. 

Soweit einleitend zum Hintergrund. Im Folgenden geht es um die 4 Bereiche: SEO und HTTPS, HTTPS wird Standard, technische Hürden bei der Umsetzung.

SEO-Visibility und HTTPS-Verschlüsselung

Untersuchungen belegen, dass eine sichere Verschlüsselung von Webseiten aus SEO-Sicht Vorteile bringt. Google hatte bereits 2014 angekündigt, dass HTTPS zukünftig zu einem wichtigen Ranking-Faktor wird. Hinter der Ankündigung könnte zweifelsohne auch die Debatte um das Ausspähen von Internet-Traffic durch die Geheimdienste stecken. Eine Verschlüsselung ist zweifelsohne auch ein Signal an Ihre Seitenbesucher, dass sie deren Befürchtungen oder Bedenken nicht auf die leichte Schulter nehmen. Das Schloss in der URL-Browserleiste könnte dazu dienen, dass Nutzer der Seite mehr Vertrauen schenken. Zugleich profitieren Sie auch mit Blick auf das Google-Ranking. Allerdings sollten Sie nicht damit rechnen, umgehend auf eine Spitzenposition katapultiert zu werden. Eine Umstellung auf HTTPS-Verschlüsselung ist jedoch ein weiterer, nicht zu ignorierender Baustein in einer guten SEO-Strategie.

HTTPS wird zum Standard: Auch Firefox und Chrome an Bord

Aktuell zeichnet sich ein klarer, unzweifelhafter Trend ab: Die HTTPS-Verschlüsselung wird zum neuen Standard. Belegt wird dies dadurch mehrere Ankündigungen der Tech-Konzerne und Softwareschmieden. Dazu gehören Platzhirsche wie Mozillas Firefox-Browser und der Chrome-Browser von Google, welche klar in diese Richtung steuern. So soll es etwa bestimmte neue Features für den Firefox-Browser nur noch für Websites mit HTTPS-Verbindungen geben. Und später sollen auch bereits bestehende Features folgen. Der Mozilla-Vorschlag liegt bislang nur als Entwurf vor, der öffentlich diskutiert wird. Es ist damit aber auch jetzt schon erkennbar, dass verschlüsselte Webseiten schon mittelfristig zum neuen Standard im Netz werden.

Noch mehr Geschwindigkeit legt Google bei dem Thema an den Tag: Die Chrome-Entwickler planen die Einführung von Warnsymbolen bei unverschlüsselten HTTP-Verbindungen. Diese Warnungen sollen noch in 2015 angezeigt werden. Mozilla unterstütz zwar die Idee grundsätzlich, hält den umfassenden Schritt aber für verfrüht. Wie ernst das Vorhaben Googles ist, lässt sich unter anderem auch daran erkennen, dass in der Canary-Version von Chrome (eine Art Vorabversion des Browsers) die Warnsymbole bereits enthalten sind. Das Ziel des Internetkonzerns ist klar: Nutzer werden darauf aufmerksam gemacht, dass allein das Fehlen von Verschlüsselung eine Unsicherheit darstellt. Welchen Eindruck eine solch hervorgehobene Warnung für die Besucher einer Shop-Seite hätte, lässt sich leicht ausmalen. Ähnliches dürfte aber auch für die Seite eines Verbands oder einer anderen Organisation gelten. Denn die wichtigste Ware im Schaufestern dürfte immer noch Vertrauen und Glaubwürdigkeit sein. Es ist nichtmal anachronistisch: Verbraucher und Konsumenten stehen auf diese Werte.

Technische Umstellung: Von HTTP zu HTTPS

Bei einer Umstellung auf eine HTTPS-Verschlüsselung müssen Sie eine Reihe von Faktoren berücksichtigen.

Die korrekte Implementierung ist technisch nicht völlig trivial und mit Aufwand verbunden. Bei der Umstellung der Website sollten unter anderem folgende Punkte beachtet werden, damit zum einem die Umstellung seo-konform und ohne Rankingverlust verläuft und zum anderen die Verschlüsselung auf dem neuesten Stand der Technik ist:

  • Verwendung moderner und sichere SSL/TLS Algorithmen
  • Neue SSL-Zertifikate sollten mittels SHA-2 signiert sein
  • Korrekte Weiterleitung von HTTP auf HTTPS (301 redirect) 
  • Extern eingebundener Content ausschließlich per HTTPS referenzieren
  • Webstatistik Tools wie Google Analytics oder Pwik umstellen
  • Google Webmaster Tools umstellen

Obacht bei unverschlüsselten Webshops und Login-Seiten

Am Ende noch eine ganz eindringliche Bitte: Es sollte wirklich keine einzige Seite geben, die unverschlüsselt ist. Ein absolutes No Go sind aus unserer Sicht aber Seiten mit der Eingabe von Login- oder Anmeldedaten, Wenn Sie der Betreiber sind, sollten Sie schnellstmöglich auf HTTPS umstellen – bevor Ihr Ruf oder Ihre Nutzer Schaden nehmen. Und wenn Sie Nutzer oder Kunde eines solchen Angebots sind, dann sollten Sie sich vielleicht genau überlegen, ob Sie Ihre vertraulichen Informationen unverschlüsselt übergeben möchten. Und als ob der Schaden bei einem Login nicht groß genug wäre: Es ist ja nun einmal so, dass wir Nutzer immer auch ein Stück weit träge sind. Wir nutzen allzu gerne ein Passwort für mehr als nur ein Login. Datendiebe und Betrüber wissen das übrigens…

Firmen-Intranet mit HTTP? Risiko!

Granz gravierend empfinden wir auch die Nutzung des unverschlüsseltem HTTP beim Login zum Intranet eines Unternehmens. Nicht selten stolpern wir über solche Sicherheitsrisiken und sind sehr erstaunt darüber, wie lax mit persönlichen Daten und Informationen eines Unternehmens umgegangen wird.

Erfahren Sie mehr über die Universum AG

Weitere Infos finden Sie auf unserer Website unter www.universum.com. Sie können natürlich auch den Newsletter abonnieren, um per Mail auf dem Laufenden zu bleiben.

Kompakt informieren wir Sie hier auch auf unseren Landingpages über unsere Leistungen in den Bereichen Social IntranetJIRAE-Learning,  Drupal-Websites und Managed Hosting Services.

Eine Unternehmensdarstellung inkl. einer Reihe von Referenzen haben wir für Sie als PDF-Download zur Verfügung gestellt.

Veröffentlicht von

Matthias Leonhardt