HTTPS | Webseite schnell & einfach verschlüsseln

Die Nutzung einer verschlüsselten Verbindung / HTTPS wirkt sich nicht nur auf das Ranking deiner Webseite aus, sondern Besucher unverschlüsselter Seiten werden in Zukunft bei deren Aufrufen im Browser gewarnt.

HTTPS
Illustrationen: eb / ebblogs

HTTPS oder HTTP – was ist der Unterschied

Die URL (Uniform Resource Locator = einheitlicher Quellen-Anzeiger) der meisten Webseiten beginnt mit http://, wobei der Nutzer bei der Suche dieses Kürzel nicht mit angegeben muss. HTTP (Hypertext Transfer Protocol) ist ein zustandsloses Protokoll zur Übertragung von Daten über ein Rechnernetz. Es wird/wurde standardmäßig eingesetzt, um Webseiten auf einen Browser zu laden. Weil diesem Protokoll keine Sicherheitsfunktion zugrunde liegt, sind diese Seiten relativ leicht angreifbar. Das heißt aber nicht, dass sie tatsächlich immer unsicher sind.

Um das Internet sicherer zu machen, wurde das sichere Hypertext Übertragungsprotokoll (HTTPS) eingeführt. Dabei handelt es sich um eine Transportverschlüsselung (SSL/TLS), die eine abhörsichere Übertragung von Daten ermöglicht. Du kennst SSL/TLS (Secure Socket Layer/Transport Layer Security) vielleicht schon von deinen E-Mail-Konten.

Bisher nutzten vor allem Webseiten mit sensiblen Inhalten wie Online-Banking die Verschlüsselung. Reine Nachrichtenseiten oder Blogs blieben meistens bei HTTP. Denn die Verschlüsselung war/ist je nach Hosting-Anbieter relativ teuer.

Druck von Google

Aufgrund der Bedeutung von Google im World Wide Web ist es sinnvoll, eine Webseite möglichst für diese Suchmaschine zu optimieren. Wie Google im September 2016 in seinem Blog bekannt gab, wird es HTTP-Webseiten zukünftig zunehmend als not secure kennzeichnen. Dies ist bereits beim Chrome- sowie Opera-Browser der Fall und wahrscheinlich zeitnah auch bei anderen.

Zunächst ist die Bedeutung der Verschlüsselung als Ranking-Faktor für Webseiten-Betreiber noch gering. Google spricht von einem minimalen Signal, das bei etwa 1% liegt. Wahrscheinlich wird es jedoch in Zukunft eine größere Rolle spielen.

Zertifikat erwerben – aber wie?

Zuerst musst du dich an deinen Hosting-Anbieter wenden. Auf seiner Webseite erfährst du, welche Zertifikate dieser anbietet. Bei manchen bekommst du nur bezahlte Zertifikate. Andere arbeiten zusätzlich mit dem kostenlosen Service von Let’s Encrypt zusammen. Außerdem ist bei deiner Wahl zu berücksichtigen, ob du nur eine oder mehrere Webseiten verschlüsseln möchtest. Auf jeden Fall solltest du ein 2048-Bit-Schlüsselzertifikat verwenden.

Einerseits kostet dich die Verschlüsselung mit Let’s Encrypt nichts und steht innerhalb weniger Minuten zur Verfügung. Andererseits ist es kein dauerhaftes Zertifikat. Das heißt, dass du es abhängig vom Anbieter alle 30 bis 90 Tage verlängern musst. Darüber hinaus gibt es in punkto Sicherheit keine Unterschiede zu den Bezahl-Versionen, deren Bereitstellung jedoch bis zu 24 Stunden dauern kann.

Vorbereitung

Bevor du an die Verschlüsselung deiner Webseite gehst, überprüfst du am besten die Inhalte deiner alten Seite. So könntest du z. B. alte Bilder oder Videos löschen, die bei der Umstellung einen unnötigen Ballast bedeuten.
Anschließend leistet ein Plugin wie WP-Sweep oder WP-Optimize gute Dienste, um deine Webseite von Datei-Überresten zu befreien. Eine Verwendung dieser Plugins lohnt sich auch im laufenden Betrieb. Abschließend solltest du ein komplettes Backup deiner Webseite erstellen und sicher abspeichern.

Installation

Als erstes loggst du dich bei deinem Hosting-Anbieter ein. Anschließend rufst du den Admin-Bereich für deinen Webspace auf. Danach geht es wie folgt weiter:

› Paketverwaltung
›› SSL
››› SSL anlegen

Einige Anbieter bieten eine 1-Click-Installation an. Du …

› klickst den entsprechenden Button,
›› wählst die Domain aus, die du verschlüsseln möchtest und
››› setzt einen Haken bei automatischer Verlängerung

Letzteres ist zu empfehlen, da bei einer Laufzeit von 30 bis 90 Tagen das manuelle Verlängern leicht in Vergessenheit gerät. Verlängerst du das Zertifikat jedoch nicht einen Tag vor Ablauf, so erlischt es am nächsten Tag und deine Seite fällt auf HTTP zurück.

Das führt zu Problemen bei den Suchmaschinen bzw. deine Seite ist dann nicht mehr aufrufbar. Denn aus Sicht der Suchmaschinen handelt es sich bei http://example.com und https://example.com um zwei verschiedene Internetadressen.

Sobald du okay geklickt hast, wird dein Zertifikat erstellt. Nun fehlt nur noch der Haken bei der automatischen Weiterleitung der alten Adresse auf die neue Webseite. Das vereinfacht das weitere Verfahren erheblich und hilft, doppelte Inhalte zu vermeiden.

Da zunächst idealerweise die Inhalte der alten und neuen Seite identisch sind, Google diese aber wie zwei verschiedene Seiten behandelt, beeinflusst der so entstandene doppelte Inhalt das Ranking negativ.

Änderungen im Backend bei WordPress

Obwohl deine Seite jetzt verschlüsselt ist / sein sollte, ist das leider noch nicht alles. Als erstes loggst du dich als Admin bei WordPress ein. Anschließend musst du folgende Änderungen vornehmen:

› Einstellungen
›› WordPress-Adresse URL und Webseite-Adresse URL
››› bei beiden ein s einfügen http://… wird zu https://…
›››› Änderung übernehmen

Je nachdem, welche Plugins du installiert hast, musst du eventuell in deren Einstellungen ebenfalls die URL anpassen.

Webseite mit HTTPS läuft … noch nicht

Um zu überprüfen, ob deine Webseite jetzt auch über die neue Adresse aufrufbar ist, gibst du die neue URL am besten in die Browser-Suchleiste eines anderen Geräts (andere IP-Adresse) oder im Incognito-Modus ein.

Entweder erscheint neben deiner URL jetzt ein grünes Schloss oder das Schloss bleibt grau, was wahrscheinlicher ist. Das bedeutet, dass die Seite zwar grundsätzlich verschlüsselt ist, aber einzelne Inhalte eben noch nicht. Da es vor allem für technisch weniger begabte Webseiten-Betreiber schwierig ist, den fehlerhaften Inhalten auf die Spur zu kommen, bietet sich für die Suche wieder die Verwendung eines weiteren Plugins an.

Korrektur unverschlüsselter Inhalte

Die bekanntesten und wohl auch besten WP-Plugins für diesen Zweck sind Suchen & Ersetzen (SearchReplace by inpsyde) sowie Better Search Replace. Beide funktionieren nach dem gleichen Prinzip. Wobei ich mit dem zweiten ein besseres Ergebnis erzielt habe, obwohl es als mit meiner WordPress-Version noch nicht getestet markiert ist.

› alte URL (http:// …) eintragen
›› neue URL (https://) eintragen
››› zu durchsuchende Dateien markieren
›››› Haken bei Testlauf setzen
››››› starten

Das kann je nach Anzahl deiner Dateien einige Minuten dauern. Am Ende erhältst du eine Liste, in der alle Dateien markiert sind, die angepasst werden müssten. Falls du damit einverstanden bist, wiederholst du den Vorgang ohne den Haken bei Testlauf. Danach sollten alle falschen Dateien korrigiert sein. Falls dem so ist, kannst du das Plugin wieder deinstallieren.

Zusätzlich besteht die Möglichkeit, deine Webseite mit dem Broken Link Checker auf veraltete Links durchsuchen, damit hinterher dem Lesevergnügen nichts mehr im Wege steht. Auch dieses Plugin kannst du hinterher wieder deinstallieren, jedoch zerbrechen immer wieder Links (z. B. zu externen Seiten), so dass es auch nichts schadet es weiter zu verwenden.

HTTPS

Graues Schloss mit Warndreieck

Selbst wenn du all diese Schritte zu deiner Zufriedenheit abgeschlossen hast, kann es in der Folgezeit passieren, dass dein grünes Schloss nicht grün bleibt. Je nach Browser ist es wieder grau mit einem orangen Warndreieck oder es ist komplett orange.

Das bedeutet, dass deine Seite zwar nach wie vor verschlüsselt ist, aber einige Teile des Inhalts unverschlüsselt übermittelt werden. Häufig handelt es sich um alte Grafiken. Um dem kritischen Inhalt auf die Spur zu kommen, ist etwas Detektivarbeit nötig. Zum einen eignet sich zur Suche auch wieder der Broken Link Checker. Zum anderen kann es aber auch passieren, dass er keine Probleme anzeigt, der Browser aber schon.

Dann hast du eigentlich nur drei Möglichkeiten:

• Entweder du untersuchst manuell z. B. alle Grafiken und änderst sie, sofern du fündig wirst,
• du hebst im Browser die Blockierung gemischter Inhalte auf, indem du auf das Schloss klickst und danach den Anweisungen folgst
• oder du lebst damit, dass vielleicht einzelne Beiträge nicht zu 100 % verschlüsselt sind.

Die beiden letzten Optionen verringern natürlich wieder die Sicherheit, wobei die Browser-Variante das größere Risiko birgt. Dabei handelt es sich so zu sagen um eine generelle Freigabe für die gesamte Webseite, auch wenn vielleicht nur einige wenige Einzelbeiträge unsichere Teile enthalten.

Google zum Zweiten

Etwas komplizierter gestaltet sich die Umstellung im Webmaster-Tool …

› Rufe die Google Search Console auf und logge dich ein.
›› Füge die https-Property als neue Property hinzu
››› Gehe zu Crawling
›››› Sitemaps
››››› Füge die gewünschten Sitemaps mit der neuen URL hinzu.

und bei Google Analytics, falls du diese verwendest.

› Logge dich bei Google Analytics ein.
›› Gehe zu Verwaltung
››› Klicke auf deine alte Property,
›››› erstelle eine komplett neue für die neue Adresse
››››› mit einer neuen Tracking-ID und
›››››› lösche die alte Property.

Zurück auf dem WP-Dashboard löschst du alle alten Angaben im Google Analytics-Plugin. Anschließend gibst du deinen neuen Tracking-Code ein und führst eine neue Plugin-Autorisierung durch. Die Umstellung kann bei beiden Tools einige Tage bis Wochen dauern, da Google alle Dateien neu crawlen muss.

Fazit

So langwierig der oben beschriebene Weg auch zu sein scheint, stellt er wohl doch die schnellste Methode zur Webseiten-Verschlüsselung dar. Zumindest für Blogger, die sich nicht tiefergehend mit Programmierung und Coding auseinandersetzen wollen, bietet sich diese Möglichkeit an. Voraussetzung ist natürlich, dass dein Hosting-Anbieter mitspielt. Also auf seiner Homepage nachschauen oder ihn direkt kontaktieren und nach seinen Angeboten fragen.

Ist dir die Umstellung geglückt, bleibt noch die Änderung aller Hinweise auf deine Webseite z. B. in sozialen Netzwerken. Denn je weniger Besucher über die Weiterleitung auf deine Webseite gelangen, desto besser.

Bei mir hat es glücklicherweise problemlos funktioniert. Bisher konnte ich bei meiner Webseite keine Verschlechterung der Performance oder Einbußen hinsichtlich des Traffics feststellen. Und nach zwei Wochen hat Google auch fast alle eingereichten Dateien und Bilder neu gecrawlt, so dass Google Analytics wieder zuverlässig arbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.