Blog
WARUM BRAUCHT JEDE WEBSITE EIN SSL-ZERTIFIKAT? Internetseiten ohne SSL-Zertifikat haben immer mehr das Nachsehen – nicht nur bei Suchmaschinen, sondern auch bei den Usern. Google hat ...
FUSEON
Internetseiten ohne SSL-Zertifikat haben immer mehr das Nachsehen – nicht nur bei Suchmaschinen, sondern auch bei den Usern.
Google hat bereits 2014 offiziell angekündigt, dass die Nutzung eines SSL-Zertifikats für die eigene Website in den Kreis der Rankingfaktoren aufgenommen wird. Webinhalte, die über eine verschlüsselte Verbindung ausgeliefert werden, sollen gegenüber Websiten ohne SSL-Verschlüsselung somit einen Vorteil haben.
Google wollte damit Websitebetreiber „unter Druck setzen“, endlich auf HTTPS-Verbindungen umzusteigen. Ab Juli 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden. Durch dieses Vorgehen will Google die verschlüsselte Datenübertragung im Web fördern und zum gängigen Standard etablieren.
Was es mit der SSL-Verschlüsselung auf sich hat und warum Websiten nicht nur des Rankings wegen auf ein SSL-Zertifikat setzen sollten, erfährst du in unserem nachfolgenden bereits dritten SEO Basics-Artikel.
Die Abkürzung SSL steht für „Secure Sockets Layer“ und verschlüsselt die Datenkommunikation zwischen Client (User-Computer) und Server. Ist diese auf einem Webserver installiert, werden Sicherheitsschloss und HTTPS-Protokoll über Port 443 aktiviert und somit eine sichere Verbindung vom Webserver zum Browser ermöglicht. Daten können zwischen Computern ausgetauscht werden, ohne dass Dritte „mitlesen“ können. Neben dem Abrufen von Website-Daten, wird eine SSL-Verschlüsselung vor allem auch für die sichere Übertragung von E-Mails, Kreditkartentransaktionen oder Logins verwendet.
Hauptaufgaben eines SSL-Zertifikats:
Neben der Abkürzung SSL findet man oft die Bezeichnung TLS oder SSL/TLS. Die Abkürzung TLS steht hierbei für „Transport Layer Security“ und ist die standardisierte Weiterentwicklung des Secure Socket Layers-Protokolls von Netscape. Die Version 3.1 von SSL wurde zum Standard erklärt und in TLS 1.0 umbenannt. Umgangssprachlich hat sich der Begriff SSL jedoch besser etabliert, weshalb er meist verwendet wird. Spricht man heutzutage also von SSL, ist eigentlich eine TLS-Verschlüsselung gemeint.
Durch das „Hypertext Transfer Protocol“, kurz HTTP, wird das Laden von Websiten vom Server in einem Browser ermöglicht. Die verschlüsselte Version „Hypertext Transfer Protocol Secure“ oder kurz HTTPS schafft eine abhörsichere Verbindung zwischen Website-Betreiber und Browser. Im technischen Sinne ist HTTPS allerdings kein eigenständiges Protokoll, sondern bezeichnet die Verwendung von HTTP über SSL bzw. TLS. Voraussetzung für die Umstellung auf HTTPS ist die Nutzung eines SSL-Zertifikats.
Achtung!
Oft werden die Bezeichnungen SSL und HTTPS synonymhaft verwendet. Tatsächlich sorgt das HTTPS Protokoll lediglich dafür, dass die gesendeten Daten auf dem Weg verschlüsselt sind. Das digitale SSL-Zertifikat kümmert sich hingegen darum, dass diese Daten auch dort ankommen, wo sie ankommen sollen.
Wird eine Webseite über eine SSL-gesicherte Verbindung geladen, so wird dies anhand der im Browser angezeigten URL sichtbar. Statt https:// ist der Internetadresse nun https:// vorangestellt.
Außerdem kennzeichnen Internetbrowser geschützte Seiten zusätzlich mit einem Schloss-Symbol oder dem Zusatz „Sicher“ bzw. „Unsicher“ für ungeschützte Seiten. Klickt man auf diese Symbole, können zusätzliche Informationen zum SSL-Zertifikat abgerufen werden.
Wenn es mit der sicheren Verbindung zur Website oder der Einbindung des Zertifikats Probleme gibt, wird dies in der Browserleiste mit einem roten Warndreieck angezeigt.
Vorsicht!
Diese Methoden zeigen nur, dass die Seite über eine gesicherte Verbindung geladen wurde. Trotzdem können Teilbereiche erst nachträglich über eine sichere Verbindung nachgeladen werden. Viele Internetseiten nutzen auch ausschließlich zur Übertragung von Nutzereingaben eine gesicherte Verbindung, während die restlichen Unterseiten ungesichert bleiben.
Die SSL Technologie wird verwendet, um die Übertragung von Informationen im Internet abzusichern.
Wird eine verschlüsselte Webseite aufgerufen, so antwortet der Host-Server zunächst mit dem SSL-Zertifikat. Dieses dient als digitaler Personalausweis, der von einer Zertifizierungsstelle (Certificate Authority, kurz CA) vergeben und durch einen Signaturprüfschlüssel einer Person oder Organisation zugeordnet werden kann. Damit werden Identität des Servers und Gültigkeit der Verschlüsselung überprüft.
Ist mit dem Zertifikat alles in Ordnung, startet das „SSL Handshake Protokoll“. Die persönlichen Identifikationsdaten der Teilnehmer werden übermittelt und die Fragmentierungs- und Verschlüsselungsverfahren ausgehandelt. Die beiden Rechner eignen sich also auf einen einheitlichen Verschlüsselungscode. Erst jetzt können Daten codiert versendet und vom Empfangsrechner decodiert werden.
Sollten diese Daten während des Transfers von Dritten abgefangen werden, sind sie aufgrund ihrer Verschlüsselung mit Hilfe der Public Key Infrastructure (PKI) unbrauchbar.
Ein digitales SSL Zertifikat enthält:
Die Signatur ist der wichtigste Teil des Zertifikats, da mit ihr bestätigt wird, dass genau mit dem gewünschten Kommunikationspartner verschlüsselt kommuniziert werden kann. Dies wird vor allem relevant, wenn es um sensible Daten wie Zahlungsinformationen oder Passwörter geht.
Für jedes SSL-Zertifikat ist eine eigene IP-Adresse erforderlich. Ihre Einbindung erfolgt auf dem Server, auf dem sich der Webspace einer Website befindet. Daher bieten die meisten Hosting-Dienste neben Webspaces und Domains auch SSL-Zertifikate an.
Das Prinzip der SSL Zertifikate basiert auf Vertrauen. Weltweit existieren zahlreiche Zertifizierungsstellen, die Zertifikate mir ihrer eigenen digitalen Unterschrift absegnen. Bevor man blind SSL-Zertifikate bezieht und einbindet, sollte man stets auf die Vertrauenswürdigkeit des Ausstellers achten. Mit sogenannten Root-Zertifikaten werden vertrauenswürdige Zertifikatsaussteller verifiziert.
Für jeden Bedarf gibt es das richtige SSL-Zertifikat zum entsprechenden Preis. Die meisten Zertifizierungsstellen unterscheiden zwischen drei SSL Varianten, die sich anhand folgender Kriterien unterscheiden:
Das meist verwendete Zertifikat ist die Domain Validation, da sie quasi sofort ausgestellt werden kann. Die Domain wird lediglich mit einer simplen E-Mail-Bestätigung verifiziert. Die Zertifizierungsstelle prüft hier also nur, ob der Antragssteller auch Inhaber der Domain ist.
Beim Klick auf das SSL-Schloss in der Adresszeile wird bei der Domain Validation der Domainname angezeigt.
Diese einfachste Form eines SSL Zertifikats eignet sich für kleine Websiten, Foren, Blogs oder Mailserver.
Bei der Organisation Validation wird zusätzlich zur Domain- eine Identitätsprüfung vorgenommen. Ein Unternehmen muss entsprechende Dokumente einreichen, die ihn als Inhaber der Domain bestätigen. Meist wird ein Handelsregisterauszug angefordert, die Bankdaten abgeglichen und telefonisch Kontakt aufgenommen.
Neben dem Domainnamen wird als Zertifikatsinhaber das Unternehmen und dessen Standort angezeigt
Dieser Zertifikatstyp eignet sich für Organisations- und Unternehmensseiten, sowie Seiten mit Kontaktformularen und Webmails.
Extended Validation Zertifikate unterscheiden sich in erster Linie optisch von den beiden anderen Varianten. Mit einer grünen Adresszeile wird dem Internetuser auf Anhieb vermittelt, dass es sich um eine vertrauenswürdige Verbindung handelt. Auch hier wird zur Validierung ein Domaincheck und eine Identitätsprüfung durchgeführt. Zusätzlich wird überprüft, ob der Antragsteller tatsächlich im genannten Unternehmen angestellt ist und dort über die Befugnis verfügt, SSL-Zertifikate zu erwerben.
Mit einem Extended Validation Zertifikat wird eine möglichst hohe Browser Akzeptanz angestrebt. Zusätzlich zur grünen Browserzeile werden wie bei der OV der Domain- und Unternehmensname, sowie dessen Standort in den Zertifikatdetails genannt.
Dieses Zertifikat ist für Online-Banking und Webpräsenzen von Geldinstituten zu empfehlen.
Viele Webhoster bieten mittlerweile standardmäßig beim Erwerb eines Webspaces ein kostenloses SSL-Zertifikat an.
Muss das Zertifikat zusätzlich von einer externen CA beantragt werden, so wird in der Regel eine detaillierte Implementierungsanleitung mitgeschickt. Hier muss das SSL-Zertifikat auf dem Server installiert und die zu schützenden Seiten, Domains und Subdomains manuell gewählt werden. Ob das Zertifikat auf allen Seiten korrekt eingebunden wurde, kann beispielsweise mit dem SSL Checker von sslshoper kostenlos überprüft werden.
Wer eine Website bereits von Anfang an mit dem verschlüsselten HTTPS Protokoll aufsetzt, hat es meist leichter. Die HTTP- und HTTPS-Version einer Website sind aus SEO-Sicht vollkommen andere Domains. Muss eine ungesicherte HTTP-Seite auf HTTPs umgestellt werden, gilt es, einiges zu beachten:
CHECKLIST: Wechsel zu HTTPS
Noch bevor die Umstellung durchgeführt wird, sollte die http-Version beispielsweise mit dem Tool Screaming Frog gecrawlt werden. So kann später überprüft werden, ob die Umstellung zu HTTPS vollständig und korrekt durchgeführt wurde.
Ohne 301-Redirect werden weiterhin beide Versionen unabhängig voneinander von Suchmaschinen indexiert. Google & Co. erkennen nicht, welche Version bevorzugt werden soll, deshalb entsteht Duplicate Content, welcher dazu führt, dass beide Seitenversionen nicht ihr volles (Ranking-) Potenzial ausschöpfen können. Mithilfe von Weiterleitungen kann dies verhindert werden.
Sobald jeder Seiteninhalt per HTTPS aufrufbar ist, kann zusätzlich HSTS eingesetzt werden. Damit teilt man dem Browser mit, dass die Website ausschließlich mit HTTPS genutzt werden soll.
Webinhalte, die nicht auf HTTPS umgestellt werden, verursachen den sogenannten Mixed Content Error. Dabei stellen unsichere Webinhalte, die mittels regulärem HTTP Protokoll ausgespielt werden, eine Sicherheitslücke für die gesamte Website dar. Das Öffnen der betroffenen Seiten wird vom Browser verhindert, stattdessen wird eine Fehlermeldung angezeigt.
Die Umstellung von HTTP auf HTTPS sollte sich auf die gesamte Website erstrecken. Die folgende Checkliste gilt es abzuarbeiten:
Damit Google Daten der HTTPS Website auslesen kann, muss die neue Property URL in der Google Search Console angelegt werden. Damit diese Daten auch in Google Analytics einlaufen, muss die Search Console mit Analytics neu verknüpft werden. Dies ist allerdings nur möglich, wenn auf der Website der Tracking-Code von Google Analytics implementiert ist.
Löschen sollte man die HTTP Property allerdings nicht. Werden beide Properties indiziert, können Daten der beiden Properties miteinander verglichen werden. Gerade am Anfang ist es wichtig die Zunahme bzw. Abnahme an Impressionen durch die Umstellung zu vergleichen und Klicks zu beobachten.
Lokale Websiten sollten zusätzlich die URL in Google My Business ändern, um auch hier korrekte Daten über die Search Console erhalten zu können.
Besteht bereits eine Disavow Datei in der Search Console, so muss auch diese für die sichere HTTPS Version der Website neu hinterlegt werden.
Wurden mit der alten HTTP-Adresse Google Ads Anzeigen ausgespielt, so sollten auch diese rechtzeitig auf der Verwaltungsoberfläche geändert werden.
Backlinks von wichtigen Websiten, also jenen, die der eigenen Website viel Traffic bringen, sollten auch auf HTTPS geändert werden. In Sozialen Netzwerken ist eine Änderung der URL in der Regel schnell über die Profileinstellungen möglich. Auch bei vielen Branchenbüchern ist dies der Fall.
Mit einer bereits erwähnten 301-Weiterleitungen kann sichergestellt werden, dass Backlinks, die nicht auf HTTPS angepasst werden, nicht verloren gehen.
HTTPS-Seiten sind durch ein SSL-Zertifikat verschlüsselt und somit geschützt. Stellt eine HTTPS-Website allerdings auch Content über das reguläre HTTP-Protokoll zur Verfügung, ist die Verbindung nur teilweise verschlüsselt. Derartige Websiten werden als Mixed Content-Seite bezeichnet.
Der unverschlüsselte Inhalt kann durch Sniffer und Man-in-the-Middle-Angriffe verändert werden und den Schutz der gesamten Website aufheben. Aktuelle Browser-Versionen blockieren diese Inhalte und spielen bei Abruf von Mixed Content-Seiten Warnungen oder Fehlermeldungen aus.
Es gibt zwei Arten von Mixed Content:
Webinhalte, die in die Website eingebunden sind oder ausgeliefert werden. Hierzu zählen Bilder, Videos, Audio-Dateien und Object-Sub Ressourcen.
Webinhalte, die Teil des Document Objects Model (DOM) einer Website sind und diese nachhaltig verändern können. Dazu gehören Links, Skripte (z. B. JavaScript), XML-http-Request-Objekte, iFrames, CSS-Dateien und Object-Daten-Attribute.
Um diesen Fehler zu beheben, sollten HTTP-Inhalte entfernt und durch HTTPS ersetzt werden. Je nach eingesetztem Content-Management-System reicht es, Website-Pfad in der Konfigurationsdatei des Systems anzupassen. Bei WordPress sind jedoch absolute Pfade in der Datenbank hinterlegt, weshalb das Anpassen direkt in der Datenbank nötig ist.
Mit Online Crawlern wie SSL Check oder dem Desktop Crawler HTTPSChecker kann schnell und einfach überprüft werden, welche Links und Medien den Mixed Content-Fehler verursachen.
Die neue Datenschutz Grundverordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden, ist am 25. Mai 2018 in Kraft getreten.
Die neue DSGVO legt in Art. 32 Abs. 1 fest, dass Websitebetreiber technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen treffen müssen. Darunter wird ausdrücklich die Verschlüsselung personenbezogener Daten als technische Maßnahme genannt.
Spätestens seit diesem Stichtag ist daher eine SSL-Verschlüsselung für alle Websiten verpflichtend, die personenbezogene Besucherdaten abfragen. Darunter fallen alle Seiten mit einem Online-Formular, wie beispielsweise Kontakt- und Bestellformulare oder auch Newsletteranmeldungen.
Entsprechende Regelungen gab es bereits vor der DSGVO, doch wurden diese aufgrund ungenauer Definitionen oft nicht stringent umgesetzt. Mit der aktuellen Verordnung kann bei nicht Einhaltung jedoch ein Bußgeld von 20 Millionen Euro oder bis zu 4% des Jahresumsatzes anfallen. Bei großen Unternehmen und Konzernen haben EU-Mitgliedstaaten zudem das Recht, weitere Sanktionen einzuführen.
Neben der Gefahr des unsicheren Datentransfers, öffnet man mit einer fehlenden SSL-Verschlüsselung zudem Tür und Tor einer schnellen Abstrafung durch Konkurrenten in Form von wettbewerbsrechtlichen Abmahnungen.
Mit dem Launch der Chrome-Version 68 im Juli 2018 werden alle Websiten, die nicht über ein HTTPS-Protokoll laufen, mit dem „Unsicher“-Tag versehen. Diese Kennzeichnung gibt es für Login-Seiten oder Seiten, die persönliche Daten anfordern, bereits seit Monaten – auch bei anderen Browsern. Bei Chrome wird in Zukunft aber die gesamte Website mit einem Warnhinweis markiert, auch wenn auf der aktiven Unterseite keine personenbezogenen Daten abgefragt werden. Mit diesem Schritt will Google Websitebetreiber dazu bringen, auf verschlüsselte Verbindungen umzusteigen.
Um Entwicklern die Umstellung zu erleichtern, bietet Google Mixed Content Audits an und empfiehlt dabei kostenfreie Zertifikate der Initiative Let’s Encrypt. Dabei handelt es sich um eine automatisierte Open Certificate Authority, die unter anderem von Google, Mozilla und der Electronic Frontier Foundation getragen wird.
Vorteile eines SSL Zertifikats für SEO
Vertrauen
Eine SSL-Verschlüsselung macht in erster Linie Websiten sicherer und entspricht in vielerlei Hinsicht einem Qualitätssiegel für die besagte Onlinepräsenz. Dies stärkt das Vertrauen der Kunden in die Seite und verringert demzufolge die Absprungrate oder Kaufabbrüche.
Visibility & Rankings
Hinzu kommt, dass Google bereits seit 2014 die SSL-Verschlüsselung offiziell zu seinen Rankingfaktoren zählt. Mit den nun zukünftig erscheinenden Warnhinweisen bei nicht sicheren Internetseiten, pusht Google die Nutzung einer sicheren Verbindung via SSL zusätzlich. Analysen haben gezeigt, dass mit einer Verschlüsselung die Sichtbarkeit um bis zu 5% erhöht werden konnte.
Datenqualität in Analysetools
Mit Tools wie Google Analytics kann unter anderem analysiert werden, wie User auf die eigene Website gelangt sind – über die organische Suche, Anzeigen, Soziale Medien oder als Referrals über Links von anderen Websiten. Wird die URL direkt in die Browserleiste eingetippt, fällt dieser Seitenbesuch in die Kategorie „Direct“.
Hat man selbst eine unverschlüsselte Website und ein User kommt beispielsweise über einen Link von einer verschlüsselten Seite, geht im HTTP-Header der Referrer verloren. Ohne Referrer-Information kann Google Analytics nicht zuordnen, wie der User auf die Seite gekommen ist und ordnet die Sitzung als „Direct“-Besuch ein. Auf langer Sicht werden so Analyseergebnisse verfälscht und das Potenzial guter Referrals kann nicht erkannt werden.
Das Einbinden einer SSL-Verschlüsselung in Webseiten ist in der erfolgreichen Suchmaschinenoptimierung und -werbung unabdingbar. Auch ohne technisches Know-How ist die Implementierung eines SSL-Zertifikats machbar und bringt auf lange Sicht Vorteile für User und Webmaster.
Doch oft leichter gesagt als getan. Gerade bei der Umstellung von HTTP auf HTTPS können zahlreiche Schwierigkeiten auftreten (Mixed Content, fehlende Weiterleitungen, etc.). In solchen Fällen beraten wir dich gerne über mögliche Problemquellen und nehmen dir auf Wunsch auch die gesamte Umstellung, Fehleranalyse und -behebung ab.
Bitte beantworte die folgenden Fragen, damit wir uns besser auf dein Anliegen vorbereiten können.
