Menschen haben ein grosses Bedürfnis nach Sicherheit. HTTPS steht für Hyper Text Transfer Protocol Secure und beschreibt die verschlüsselte Übertragung von Daten zwischen Browser und Webserver. Was hat es damit auf sich?
Informationen gemäss Stand vom 30.11.2024
Bild: Tumisu auf Pixabay
Heute wollen wir mit einem kostenfreien Zertifikat die Datenübertragung unseres Webservers sicherer machen. Für unsere Erklärung gehen wir von einem System aus, welches in der Praxis regelmässig anzutreffen ist: Webserver mit Apache, als CMS WordPress und die Google Tools.
Inhaltsverzeichnis: HTTPS Protokoll
- Warum auf HTTPS umstellen?
- Gibt es auch Nachteile?
- Wie erkennen wir sichere Websites?
- Die Praxis
- Der Hosting-Provider
- Falls Sie mit WordPress arbeiten
- Die .htaccess-Datei
- Der Test
- Die Robots.txt Datei
- Die Sitemap
- Google Analytics
- Die WebmasterTools anbieten
- Der Canonical-Tag und andere Einstellungen
- Werbung
- Links
- Offline
- Das Video
- Online-Marketing
- PS
Warum auf HTTPS umstellen?
Es gibt mehrere Gründe, wieso Sie Ihre Website auf das Protokoll HTTPS umstellen sollten. Sehen wir uns diese Gründe etwas näher an:
- Die Verschlüsselung
Per HTTPS werden die Daten zwischen dem Browser und dem Webserver verschlüsselt. Bestellt ein Anwender ein Produkt, so werden Angaben wie die Adresse, E-Mail-Adresse, Zahlungsinformationen, Kreditkartennummer, Bankverbindungen und allgemeine Eingabeformulare sicher übermittelt. - Das Google-Ranking
Google legt Wert auf diese Umstellung. Und wenn wir dadurch ein Pünktchen mehr für das Ranking bekommen, nehmen wir dieses Geschenk gerne mit. - HTTP/2
Die Umstellung ermöglicht erst die Nutzung von HTTP/2 zur Verbesserung der Websiteleistung.
Vergleichen Sie http versus https mit diesem Online-Tool. - Vertrauen gewinnen
Das Zertifikat ist für Benutzer leicht erkennbar und weckt Vertrauen in Ihre Website. - Warnung
Browser wie Google Chrome oder Mozilla Firefox warnen noch stärker vor Websites ohne Verschlüsselung. Das kann in der Folge negative Auswirkungen auf die Besucherzahlen haben. - Progressive Web-Apps
Progressiven Web-Apps setzen das HTTPS-Protokoll voraus. Bei den Progressive Web-Apps handelt es sich um fortschrittliche Apps, welche viele Vorteile gegenüber natürlichen Apps besitzen. Dafür kann HTML5, CSS3 und JavaScript verwendet werden. Diese Web-Apps sollen nicht mehr aus dem Store, sondern über den Internet-Browser installiert werden, da dieser ohnehin auf jedem Gerät vorhanden ist. - Das CMS WordPress
In Zukunft werden bestimmte Funktionen das Zertifikat voraussetzen.
Gibt es auch Nachteile?
- Aufwand
Es gibt einen einmaligen Aufwand beim Installieren des HTTPS-Protokolls. - Kosten
Wer ein höherwertiges Zertifikat verwenden will, der ist mit Kosten konfrontiert.
Wie erkennen wir sichere Websites?
Sichere Websites erkennen Sie am sicheren Schloss in der Webadressenzeile.
Firefox
Google Chrome Der ältere Begriff SSL (kurz für Secure Socket Layers) bezeichnet eine Technik, die Sie zur Verschlüsselung und Authentifizierung des Datenverkehrs im Netz einsetzen können. Mit SSL geraten die Daten Ihrer Kunden nicht in die falschen Hände. Die Verschlüsselung nennt sich heute allerdings TLS (Transport Layer Security).
Wenn Sie auf das Schlüsselsymbol klicken, erfahren Sie mehr über die Sicherheit des entsprechenden Browsers.
Die Praxis
Und jetzt zur Praxis. Sie benötigen ein SSL-Zertifikat. Diese Zertifikate gibt es in verschiedenen Authentifizierungsstufen.
Die CA (Zertifizierungsstelle) vergibt die Zertifikate in 3 Qualitäts-Stufen:
- DV
Eignet sich für KMU, Private und Vereine. - OV
Eignet sich für grössere Unternehmen und Online-Shops. - EV
Die höchste Stufe eignet sich für Regierungsstellen, Banken und Versicherungen.
In diesem Beitrag möchten wir ein kostenfreies Zertifikat einrichten, es ist Let’s Encrypt. Beauftragen Sie Ihren Webmaster diese Umstellung vorzunehmen oder nehmen Sie es selbst in die Hand. Einige kleine Hürden sind doch zu nehmen! Nutzung auf eigene Gefahr.
Als Alternative zu diesem Zertifikat können Sie Cloudflare verwenden.
Der Hosting-Provider
Zuerst gehe ich in den Passwortbereich meines Servers. Unter dem Menüeintrag Let’s Encrypt stehen mir folgende Einstellungen bereit:
Ich entschliesse mich für eine Einstellung ohne www und klicke auf „Installieren“. Nach einigen Minuten hat sich die Sache erledigt!
Sollte Ihr Provider diese Option nicht im Verwaltungsbereich anbieten, suchen Sie in der FAQ Ihres Providers danach oder senden Sie Ihrem Provider eine Anfrage zu diesem Thema.
Als Alternative hilft Ihnen auch der Server von sslforfree.com
Falls Sie mit WordPress arbeiten
Falls Sie mit WordPress arbeiten, benötigen Sie drei weitere Massnahmen. Bevor Sie diese durchführen, empfehle ich Ihnen unbedingt eine Datensicherung der Datenbank vorzunehmen! Mit den folgenden Schritten werden wir Änderungen an der Datenbank durchführen.
Unter Einstellungen – Allgemein stellen Sie die Domain von http auf https um.
Die Pfade in WordPress weisen in der Datenbank noch auf die alte URL hin. Mit einem Plug-in (Better Search Replace) können Sie die Änderungen in der Datenbank vornehmen. Sie können das Plug-in hochladen und nach der Verwendung wieder löschen.
Überprüfen Sie auf dem Server via FTP noch die Dateien wp-config.sys, styless.css und functions.php, ob sich darin ggf. noch weitere Einträge zu http anstatt zu https befinden.
Die .htaccess-Datei
Um zu vermeiden, dass die Suchmaschinen die Website mit und ohne https einscannt, ist eine Weiterleitung von http zu https notwendig.
Arbeitet Ihr Server mit einem Apache-Server, ist noch die Umleitung der alten Links erforderlich. Mit einem 301-redirect wird die Umleitung durchgeführt. Mit dem folgenden Code vermeiden Sie, dass die Suchmaschine die HTTP-Site und die HTTPS-Site als zwei verschiedene Internetsites wertet.
Neu lautet Ihre Webadresse entweder https://www.domain.ch oder als Variante 2 https://domain.ch. Sie haben die Möglichkeit, die Internetadresse auch ohne www zu verwenden. In der Kürze liegt die Würze.
Das Bearbeiten der .htaccess-Datei ist heikel, da ein minimaler Fehler dazu führen kann, dass die Website nicht mehr arbeitet. Sichern Sie deshalb zuerst die Datei.
OK, folgender Code gehört in die .htaccess-Datei:
Mit www
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC,OR]
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [R=301,L]
Ohne www
RewriteCond %{HTTP_HOST} !^meinedomain\.de$ [NC,OR]
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://meinedomain.de/$1 [R=301,L]
Haben Sie weitere Redirects mit http, ändern Sie auch diese auf https.
Optional können Sie noch den HST-Header mit folgendem Eintrag aktivieren:
<IfModule mod_headers.c>
Header set Strict-Transport-Security „max-age=15768000; includeSubDomains“ env=HTTPS
</IfModule>
Per HTTP Strict Transport Security wird definiert, dass die Website ausschliesslich https nutzt.
Der Test
Nun können Sie Ihre Domain mit https aufrufen.
Es gibt Online-Tools, mit denen Sie Ihren Webserver überprüfen können. Verwenden Sie dazu zum Beispiel sslshopper.com/ssl-checker.html, jitbit.com/sslcheck/ und ssllabs.com/ssltest/
Unter Umständen ist das angezeigte Schloss nicht grün. Im Normalfall sind noch weitere Schritte notwendig. Erscheint ein Warndreieck anstatt des grünen Schlosses, muss darauf geachtet werden, dass alle Bilder, Videos, CSS-Dateien, Javascript-Files, Webfonts ebenfalls per https:// geladen werden!
Testen Sie, wie Ihr Browser reagiert, wenn er auf ein Zertifikatsproblem trifft. Bei der vorgestellten Site finden Sie im Bereich Certificate Links, welche Zertifikatsfehler nachstellen. Klicken Sie zum Beispiel auf expired, landen Sie auf einer Testseite mit absichtlich abgelaufenem Zertifikat.
badssl.com
Die Robots.txt – Datei
Eine Datei, die oft vergessen geht, ist die Robots.txt. Unter Umständen müssen Sie auch diese Datei anpassen.
Die Sitemap
Erstellen Sie eine neue Sitemap. Kontrollieren Sie, ob alle Links auf https weisen.
Google Analytics
Bei Ihrer Google Analytics Webstatistik wählen Sie die VERWALTUNG an. Unter den PROPERTY-EINSTELLUNGEN können Sie die neue Webadresse ändern.
Die WebmasterTools
Arbeiten Sie mit der Google Search Console (GSC) und / oder mit den Bing Webmastertools, müssen Sie diese anpassen. Erstellen Sie in der GSC eine neue Property. Anschliessend integrieren Sie unter CRAWLING – SITEMAPS die neue Sitemap.
Der Scanner von Google sieht sich jeden Tag nur eine bestimmte Anzahl an Webseiten Ihrer Domain an. Haben Sie eine grosse Website, so wird es einige Zeit dauern, bis Google alle Seiten neu indexiert hat. Während dieser Zeit kann es Schwankungen in Ihrem Ranking geben.
Arbeiten Sie mit weiteren Diensten wie Ryte, Monitoringdiensten und einem CDN, denken Sie daran, auch in diesen Services Ihre Webadresse zu aktualisieren.
Der Canonical-Tag und andere Einstellungen
Je nachdem, ob Sie mit einem Canonical-Tags-Eintrag arbeiten, müssen Sie auch diese anpassen.
Kontrollieren Sie ggf. Einstellungen wie HREFLANG und strukturierte Daten.
Werbung
Buchen Sie Werbung bei Google Ads oder anderen Portalen? Dann ändern Sie auch in diesen Ihre Webadresse.
Links
Versuchen Sie überall, wo es möglich ist, die Backlinks auf Ihre Domain zu ändern. Sie setzen bei Ihrer E-Mail-Korrespondenz Signaturen ein? Haben Sie Social Media Profile? Ändern Sie auch an dieser Position Ihre Webadresse. Kontrollieren Sie auch die Einstellungen beim Google Unternehmensprofil.
Offline
Ihre alte Webadresse leitet jetzt auf die Neue um. Somit müssen Sie Ihre Unterlagen wie Briefpapier und Visitenkarten nicht neu erstellen lassen. Denken Sie daran, wenn Sie ohnehin neues Material benötigen.
Das Video
Was ist https SSL/TLS? Lassen Sie sich die Absicherung von Datenverbindungen erklären.
Online-Marketing
Betreffend Sicherheit gibt es noch weitere Punkte zu beachten. Doch wer nicht hochsensible Daten beherbergt, ist mit dieser kostenlosen Lösung gut bedient.
Und um wieder zurück zu Online-Marketing zu kommen: Überprüfen Sie die Rankings Ihrer Website. Rechnen Sie damit, dass es bald einige Schwankungen geben wird.
PS
„Nun, haben Sie bereits zu HTTPS gewechselt?“
Bitte klicken, ähnliche Themen:
Autor: Walter B. Walser, kundennutzen.ch