Wie Sie im Online-Mar­ke­ting von HTTPS sieben­fach profi­tieren

mit Keine Kommentare

Online-Marke­ting Fach­beitrag: HTTPS Pro­to­koll

Menschen haben ein grosses Bedürfnis nach Sicherheit. HTTPS steht für Hyper Text Transfer Protocol Secure und be­schreibt die verschlüsselte Über­tra­gung von Daten zwi­schen Brow­ser und Web­ser­ver.

Informationen gemäss Stand vom 14.4.2022

httpsQuelle: Tumisu auf Pixabay

Heute wollen wir mit einem kos­ten­freien Zertifikat die Daten­über­tragung unseres Web­servers sicherer machen. Für unsere Erklärung gehen wir von einem System aus, welches in der Praxis sehr oft anzu­treffen ist: Webserver mit Apache, als CMS WordPress und die Google Tools.

Inhaltsver­zeich­nis: HTTPS Protokoll

Warum auf HTTPS um­stellen?

Es gibt mehrere Gründe, wieso Sie Ihre Website auf das Protokoll HTTPS ums­tellen sollten. Sehen wir uns diese Grün­de etwas näher an:

  • Die Verschlüsselung
    Per HTTPS werden die Daten zwi­schen dem Browser und dem Webserver verschlüsselt. Bestellt ein Anwender ein Pro­dukt, so werden Angaben wie die Adresse, E-Mail-Adres­se, Zahlungs­informa­tionen, Kredit­karten­nummer, Bank­ver­bin­dun­gen und allgemeine Eingabe­formulare sicher übermittelt.
  • Das Google-Ranking
    Google legt Wert auf diese Um­stel­lung. Und wenn wir dadurch ein Pünktchen mehr für das Ranking be­kommen, nehmen wir dieses Ge­schenk gerne mit. Informationen von Google be­treffend HTTPS.
  • HTTP/2
    Die Umstellung ermöglicht erst die Nutzung von HTTP/2 zur Ver­bes­se­rung der Website-Performance.
  • Vertrauen gewinnen
    Das Zertifikat ist für Benutzer leicht er­kennbar und weckt Vertrauen in Ihre Website.
  • Warnung
    Browser wie Google Chrome oder Mozilla Firefox warnen noch stärker vor Websites ohne Verschlüsselung. Das kann in der Folge negative Aus­wir­kun­gen auf die Be­sucherzahlen haben.
  • Progessive Web Apps
    Pro­gressiven Web Apps setzen das HTTPS-Protokoll voraus. Bei den Pro­gressive Web Apps handelt es sich um fort­schrittliche Apps, welche viele Vorteile gegenüber natürlichen Apps besitzen. Dafür kann HTML5, CSS3 und sowie Javascript verwendet wer­den. Diese Web Apps sollen nicht mehr aus dem Store, sondern über den Internet-Browser installiert wer­den, da dieser ohnehin auf jedem Ge­rät vorhanden ist.
  • Das CMS WordPress
    In Zukunft werden bestimmte Funk­tio­nen das Zertifikat voraus­setzen.

Gibt es auch Nach­teile?

  • Aufwand
    Es gibt einen einmaligen Aufwand beim Installieren des HTTPS-Pro­to­kolls.
  • Kosten
    Wer ein höherwertiges Zertifikat ver­wenden will, der ist mit Kosten kon­fron­tiert.

Wie erkennen wir sichere Websites?

Sichere Websites erkennen Sie am sicheren Schloss in der Web­adressen­zeile.

Firefox
Firefox

Google Chrome
Google Chrome

SSL im Firefox Der ältere Begriff SSL (kurz für Secure Socket Layers) be­zeich­net eine Technik, die Sie zur Verschlüsselung und Aut­hen­tifi­zierung des Datenverkehrs im Netz einsetzen können. Mit SSL geraten die Daten Ihrer Kunden nicht in die fal­schen Hände. Die Verschlüsselung nennt sich heute allerdings TLS (Trans­port Layer Security).

Wenn Sie auf das Schlüsselsymbol klicken, erfahren Sie mehr über die Sicherheit des entsprechenden Browsers.

Die Praxis

Und jetzt zur Praxis. Sie brauchen ein SSL-Zertifikat. Diese Zertifi­kate gibt es in verschie­denen Authentifizierungs­stufen.

Die CA (Zertifizierungsstelle) vergibt die Zertifikate in 3 Qualitäts-Stufen:

  • DV
    Eignet sich für KMU, Private und Ve­rei­ne.
  • OV
    Eignet sich für grössere Unternehmen und Online-Shops.
  • EV
    Die höchste Stufe eignet sich für Re­gierungsstellen, Banken und Ver­siche­rungen.

In diesem Beitrag wollen wir ein kosten­freies Zertifikat einrichten, es ist Let’s Encrypt. Beauftragen Sie Ihren Web­mas­ter diese Um­stellung vorzu­neh­men oder nehmen Sie es selbst in die Hand. Einige kleine Hürden sind doch zu nehmen! Nutzung auf eigene Ge­fahr.

Als Alternative zu diesem Zertifikat kön­nen Sie Cloudflare verwenden.

Der Hosting-Pro­vi­der

Zuerst gehe in in den Passwort­bereich meines Servers. Unter dem Menüeintrag Let’s Encrypt stehen mir folgende Ein­stel­lun­gen bereit:

Providereinstellungen

Ich entschliesse mich für eine Ein­stellung ohne www und klicke auf „Installieren“. Nach einigen Minuten hat sich die Sache erle­digt!

Sollte Ihr Provider diese Option nicht im Verwaltungsbereich anbieten, suchen Sie in der FAQ Ihres Providers da­nach oder sen­den Sie Ihrem Provider eine Anfrage zu diesem Thema.

Als Alternative hilft Ihnen auch der Server von sslforfree.com

Falls Sie mit WordPress arbeiten

Falls Sie mit WordPress arbeiten, be­nö­ti­gen Sie drei weitere Mass­nahmen. Bevor Sie diese durchführen, empfehle ich Ihnen unbedingt eine Daten­siche­rung der Daten­bank vorzunehmen! Mit den folgenden Schritten wer­den wir Än­de­run­gen an der Datenbank durch­füh­ren.

Unter Einstellungen – Allgemein stellen Sie die Domain von http auf https um.

WordPress Einstellungen

Die Pfade in WordPress weisen in der Datenbank noch auf die alte URL hin. Mit einem Plugin (Better Search Re­place) können Sie die Änderungen in der Da­tenbank vornehmen. Sie können das Plu­gin hochladen und nach der Ver­wen­dung wie­der lö­schen.

WordPress Plug-In

Überprüfen Sie auf dem Server via FTP noch die Dateien wp-config.sys, styless.css und functions.php, ob sich darin ggf. noch weitere Einträge zu http anstatt zu https befinden.

Die .htaccess-Datei

Um zu vermeiden, dass die Such­ma­schi­nen die Website mit und ohne https einscannt, ist eine Wei­ter­leitung von http zu https not­wen­dig.

Arbeitet Ihr Server mit einem Apache, ist noch die Umleitung der alten Links er­forderlich. Mit einem 301-redirect wird die Umleitung durchgeführt. Mit dem fol­gen­den Code vermeiden Sie, dass die Suchmaschine die HTTP-Site und die HTTPS-Site als zwei verschiedene Inter­netsites wertet.

Neu lautet Ihre Webadresse entweder https://www.domain.ch oder als Variante 2 https://domain.ch. Sie haben die Mög­lich­keit, die Internetadresse auch ohne www zu verwenden. In der Kürze liegt die Würze.

Das Bearbeiten der .htaccess-Datei ist heikel, da ein minimaler Fehler dazu füh­ren kann, dass die Website nicht mehr arbeitet. Sichern Sie deshalb zuerst die Datei.
OK, folgender Code gehört in die .htaccess-Datei:

Mit www
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC,OR] RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [R=301,L]

Ohne www
RewriteCond %{HTTP_HOST} !^meinedomain\.de$ [NC,OR] RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://meinedomain.de/$1 [R=301,L]

Haben Sie weitere Redirects mit http, ändern Sie auch diese auf https.

Optional können Sie noch den HST-Header mit folgendem Eintrag aktivieren:

<IfModule mod_headers.c>
Header set Strict-Transport-Security „max-age=15768000; includeSubDomains“ env=HTTPS
</IfModule>

Per HTTP Strict Transport Security wird definiert, dass die Website aus­schliess­lich https nutzt.

Der Test

Nun können Sie Ihre Domain mit https auf­ru­fen.

Es gibt Online-Tools, mit denen Sie Ihren Webserver überprüfen können. Ver­wen­den Sie dazu zum Beispiel sslshopper.com/ssl-checker.html, jitbit.com/sslcheck/ und ssllabs.com/ssltest/

Unter Umständen ist das angezeigte Schloss nicht grün. Im Normalfall sind noch weitere Schritte notwendig. Er­scheint ein Warndreieck anstatt des grünem Schloss, muss darauf geachtet werden, dass alle Bilder, Videos, CSS-Dateien, Javascript-Files, Webfonts ebenfalls per https:// geladen werden!

Testen Sie, wie Ihr Browser reagiert, wenn er auf ein Zer­tifi­kats­problem trifft. Bei der vorgestellten Site finden Sie im Bereich Certificate Links, welche Zer­ti­fi­kats­fehler nachstellen. Klicken Sie zum Beispiel auf expired, landen Sie auf einer Testseite mit absichtlich abge­lau­fenem Zertifikat.
badssl.com

Die Robots.txt – Datei

Eine Datei die oft vergessen geht ist die Robots.txt. Unter Umständen müssen Sie auch diese Datei anpassen.

Die Sitemap

Erstellen Sie eine neue Sitemap. Kon­trol­lieren Sie, ob alle Links auf https weisen.

Google Analytics

Bei Ihrer Google Anslytics Webstatistik wählen Sie die VERWALTUNG an. Unter den PROPERTY-EINSTELLUNGEN kön­nen Sie die neue Webadresse än­dern.

Die Webmaster-Tools

Arbeiten Sie mit der Google Search Con­sole (GSC) und / oder mit den Bing Webmastertools, müssen Sie diese an­passen. Erstellen Sie in der GSC eine neue Property. Anschlies­send integrieren Sie unter CRAWLING – SITEMAPS die neue Sitemap.

Der Scanner von Google sieht sich jeden Tag nur eine bestimmte Anzahl an Web­seiten Ihrer Domain an. Haben Sie eine grosse Website, so wird es einige Zeit dauern, bis Google alle Seiten neu in­de­xiert hat. Während dieser Zeit kannn es durchaus Schwan­kungen in Ihrem Ran­king geben.

Arbeiten Sie mit weiteren Diensten wie beispielsweise Ryte, Monitoringdiensten und einem CDN, denken Sie daran, auch in diesen Services Ihre Webadresse zu aktualisieren.

Der Canonical-Tag und andere Einstellungen

Je nachdem ob Sie mit einen Canonical-Tags-Einträgen arbeiten, müssen Sie auch diese anpassen.

Kontrollieren Sie ggf. Einstellungen wie HREFLANG und strukturierte Daten.

Werbung

Buchen Sie Werbung bei Google Ads oder anderen Portalen? Dann ändern Sie auch in diesen Ihre Webadresse.

Versuchen Sie, überall wo es möglich ist, die Backlinks auf Ihre Domain zu ändern. Sie setzen bei Ihrer E-Mail-Kor­res­pon­denz Signaturen ein? Haben Sie Social Media Profile? Ändern Sie auch an dieser Position Ihre Web-Adresse. Kontrollieren Sie auch die Einstellungen bei Google MyBusiness.

Offline

Ihre alte Webadresse leitet jetzt auf die Neue um. Somit müssen Sie Ihre Un­ter­la­gen wie Briefpapier und Visi­ten­karten nicht neu erstellen lassen. Denken Sie daran, wenn Sie eh neues Material brauchen.

Das Video

Was ist https SSL/TLS? Lassen Sie sich die Absicherung von Datenverbindungen erklären.

Online-Marketing

Betreffend Sicherheit gibt es durchaus noch weitere Punkte zu beachten. Doch wer nicht hoch­sensible Daten be­herbergt, ist mit dieser kostenlosen Lösung gut be­dient.

Und um wieder zurück zu Online-Marke­ting zu kommen: Überprüfen Sie die Rankings Ihrer Website. Rechnen Sie damit, dass es in nächster Zeit einige Schwan­kungen geben wird.

P.S.:

„Nun, wann wechseln Sie auf HTTPS?“

Autor: Walter B. Walser, kundennutzen.ch

Verfolgen Walter B. Walser:

Online-Mar­ke­ting-Mana­ger

Walser arbeitet seit 1995 mit dem In­ter­net. Er ist Gründer des pra­xis­na­hen On­li­ne-Mar­ke­ting- und Online-Tools-Ma­ga­zins kundennutzen.ch, Autor und Online-Marketing-Manager. Er half frü­her als Agenturleiter Un­ter­neh­mern 100% mehr aus Ihrer Web­site heraus­zu­holen. Er hat KMU in Bezug auf deren Web­auf­tritt be­raten und sich auf die Web­si­te-Pfle­ge, Web­si­te-Opti­mie­rung und das On­li­ne-Mar­ke­ting mit On­li­ne-Tools spe­zia­li­siert.