Seit 2014 nutzt Google das Protokoll als ein Ranking-Faktor. Verwendet eine Website das HTTPS-Protokoll, so kann sie einen kleinen Bonus bei der Bewertung durch Google erhalten. Aber klar ist auch, HTTPS ist ein sehr schwach gewichteter Ranking-Faktor.

Es dürfte wichtiger sein, daß Google im hauseigenen Browser Chrome angefangen hat, allen HTTP-Verbindungen ein „Nicht sicher“ am Anfang der Browserzeile einzublenden. Die meisten anderen Browser haben inzwischen nachgezogen

Der Vorteil der SSL-Verschlüsselung liegt also in erster Linie im hohen Vertrauen, das die Nutzer einer Verschlüsselten Seite entgegenbringen. Bei allen Webseiten, die persönliche Daten nutzen ist die Verschlüsselung längst Standard.

Was ist HTTPS?

HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Unabhängig vom Inhalt Ihrer Website empfiehlt Google deshalb die Verwendung von HTTPS, um die Kommunikation Ihrer Nutzer mit Ihrer Website zu schützen.

Mithilfe von HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:

Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht abgefangen werden können. Wenn also ein Nutzer auf Ihrer Website surft, kann niemand den Datenaustausch „abhören“, seine Aktivitäten über verschiedene Seiten hinweg verfolgen oder seine Daten stehlen.
Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich.
Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Mitlesen oder Manipulation der Kommunikation.

Best Practices für die Implementierung von HTTPS

Starke Sicherheitszertifikate verwenden

Wenn Sie HTTPS für Ihre Website einrichten, benötigen Sie ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle ausgestellt, die überprüft, ob Ihre Webadresse tatsächlich zu Ihrer Organisation gehört, und dadurch Ihre Nutzer vor Angriffen schützt. Wählen Sie bei der Einrichtung Ihres Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn Sie bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügen, aktualisieren Sie ihn auf 2.048 Bit.

Überlegen Sie, welchen Zertifikattyp Sie benötigen:

Ein Zertifikat für eine einzige sichere Quelle (z. B. www.example.com)

• Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. www.example.com, cdn.example.com, example.co.uk)
• Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. a.example.com, b.example.com)

Serverseitige 301-Weiterleitungen verwenden

Leiten Sie Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwenden Sie dazu serverseitige 301-HTTP-Weiterleitungen.

Dafür sorgen, dass Google Ihre HTTPS-Seiten crawlen und indexieren kann

• Blockieren Sie Ihre HTTPS-Seiten nicht durch robots.txt-Dateien.
• Fügen Sie keine noindex-Meta-Tags in Ihre HTTPS-Seiten ein.
• Verwenden Sie das URL-Prüftool, um zu testen, ob Googlebot auf Ihre Seiten zugreifen kann.

Unterstützung von HSTS

HTTPS-Websites sollten HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Nutzer in die Adressleiste des Browsers http eingibt. Gleichzeitig wird Google aufgefordert, in den Suchergebnissen sichere URLs einzublenden. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.

Vermeiden Sie häufig auftretende Probleme

Problem	Aktion
Abgelaufene Zertifikate	Achten Sie darauf, dass Ihr Zertifikat jederzeit aktuell ist.
Zertifikat wurde für den falschen Websitenamen ausgestellt	Überprüfen Sie, ob Sie für alle Hostnamen ein Zertifikat erhalten haben, die von Ihrer Website bereitgestellt werden. Wenn Ihr Zertifikat beispielsweise nur www.example.com abdeckt, werden Besucher Ihrer Website blockiert, die nur example.com ohne das Präfix „www.“ eingeben, da der eingegebene Name nicht mit dem Zertifikat übereinstimmt.
Unterstützung für Server Name Indication (SNI) fehlt	Kontrollieren Sie, ob Ihr Webserver SNI unterstützt und Ihre Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn Sie Unterstützung für ältere Browser anbieten möchten, benötigen Sie eine dedizierte IP-Adresse.
Crawling-Fehler	Blockieren Sie das Crawling Ihrer HTTPS-Website nicht durch eine robots.txt-Datei.
Indexierungsfehler	Lassen Sie nach Möglichkeit die Indexierung Ihrer Seiten durch Suchmaschinen zu. Verwenden Sie nicht das Meta-Tag Noindex.
Alte Protokollversionen	Alte Protokollversionen enthalten Sicherheitslücken. Achten Sie darauf, die neuesten Versionen der TLS-Bibliothek zu verwenden und die neuesten Protokollversionen zu implementieren.
Verschiedenartige Sicherheitselemente	Betten Sie nur HTTPS-Inhalte auf HTTPS-Seiten ein.
Verschiedenartige Inhalte unter HTTP und HTTPS	Kontrollieren Sie, ob die Inhalte auf Ihrer HTTP- und Ihrer HTTPS-Website identisch sind.
Fehler bei HTTP-Statuscodes unter HTTPS	Prüfen Sie, ob Ihre Website den richtigen HTTP-Statuscode zurückgibt. Der Code ist beispielsweise 200 OK für erreichbare Seiten oder 404 bzw. 410 für nicht vorhandene Seiten.

Migration von HTTP zu HTTPS

Wenn Sie Ihre Website von HTTP nach HTTPS migrieren, behandelt Google dies als Websiteverschiebung mit URL-Änderungen. Dies kann sich vorübergehend auf Ihre Traffic-Zahlen auswirken.

Fügen Sie der Search Console die neue HTTPS-Property hinzu. Die Search Console verarbeitet HTTP und HTTPS getrennt, Daten zwischen diesen Properties sind in der Search Console nicht sichtbar.

Fazit

Jeder Webseitenbetreiber kann selbst entscheiden, wie wichtig die verschlüsselte Kommunikation für die eigene Seite ist. Bei einem Blog ohne Kommentarfunktion wäre es aus sicherheitstechnischer Sicht nicht notwendig, die Nutzerdaten per SSL-Zertifikat zu verschlüsseln.