Was ist HTTPS und brauche ich das?

HTTPS steht für Hypertext Transfer Protocol Secure und ist im technischen Sinne kein eigenes Protokoll. Die Technik  von HTTPS heißt heutzutage TLS (Transport Layer Security). TLS ist eine Weiterentwicklung des  noch genutzten Protokolls SSL (Secure Sockets Layer). Die Verwendung von HTTPS erkennt man im Browser daran, dass die Internetadresse mit https statt http beginnt. Im Moment zeigen viele Browser ein durchgestrichenes Schloß bei unverschlüsselten Webseiten per http. Bei verschlüsselten Webseiten die über https erreichbar sind ein grünes Schloß.

Die drei Ziele von SSL/TLS sind Vertraulichkeit, Datenintegrität und Authentizität:
Vertraulichkeit wird durch die Verschlüsselung der Verbindung gewährleistet. Damit persönliche Daten z.B. Kreditkartendaten nicht von Dritten entwendet und missbraucht werden können. Durch die Gewährleistung der Integrität der Daten wird garantiert, dass eine Manipulation z.B. der Bestellung in einem Onlineshop nicht möglich ist. Unter Authentizität versteht man, dass die Identität des Onlineshop-Betreibers / Webseitenbetreiber für den Kunden überprüfbar ist.

Zusammengefasst dient die verschlüsselte Übertragung mit HTTPS folgenden Zwecken:

Vertraulichkeit: Kein Dritter soll die Daten mitlesen können.
Integrität: Die Daten können während der Übertragung nicht unbemerkt verändert werden
Authentizität: Der Kommunikationspartner ist verifizierbar – dafür braucht man die Zertifikate, die auf die Domain ausgestellt sind

Bei der Übertragung von sensiblen Kundeninformationen, wie z.B. Passwörter oder Kreditkartendaten, ist der Einsatz eines von einer Zertifizierungsstelle signierten SSL-Zertifikats Pflicht. Muss nur ein persönlicher Login-Bereich geschützt werden, reicht evtl. ein selbst signiertes oder vom Hosting-Provider signiertes Zertifikat aus.

Bei Webseiten ohne sensible Informationen, kann eine abgesicherte Verbindung trotzdem angeboten werden. Durch die Verschlüsselung ist es für Dritte nicht möglich zu sehen, welche Seiten einer Website genau aufgerufen werden.

Ein Pluspunkt in Sachen SEO ist eine bessere Listung in den Suchergebnissen bei Google.

Ab Juli 2018 wird der neue Chrome unverschlüsselte Webseiten mit einer größeren Warnmeldung als unsicher kennzeichnen.

Falls der Hosting Anbieter die kostenlosen Let’s Encrypt SSL-Zertifikate noch nicht anbietet, kann man im Kundenaccount ein kostenpflichtiges SSL-Zertifikat bestellen. Das teuerste Zertifikat ist eines, bei dem der Name direkt in der Browser-Adressleiste steht und auch Subdomains geschützt sind. Ein solches Zertifikat sieht man oft bei großen Webseiten z.B. Twitter, …, oder Onlineshops. Nur das Zertifikat beantragen reicht nicht. Der Webauftritt muss überarbeitet werden, damit alle Ressourcen per https geladen werden können. Die .htaccess muss so angepasst werden, dass sie per 301 Weiterleitung den Internetauftritt per https aufruft, auch wenn ein alter Link per http aufgerufen wird.

Umstellung auf HTTPS

Wichtig: BackUp / Sicherung anlegen

Man muss alle Links auf der Webseite ebenfalls auf HTTPS ändern. Das geht prima mit der Funktion Suchen und Ersetzen. Bei WordPress gibt es das Plugin: Better Search Replace. Der erste Schritt bei WordPress ist die Webseiten-URL im WordPress Adminbereich auf HTTPS zu setzen. Die Einstellung im Dashboard  unter Einstellungen / Allgemein vornehmen.

Zur Überprüfung kann man die Webseite Why No Padlock nutzen, um alle Fehlermeldungen zu sehen. So siehst man, welche URLs noch auf HTTP laufen und damit verbessert werden müssen. Man kann eine Liste der Fehlermeldungen auch im Browserinspektor (z.B. bei Chrome oder Firefox) einsehen, dazu klickt man einfach im Browserinspektor auf Console und die Liste der http-Links wird angezeigt.

Zuletzt muss man mit Hilfe einer 301-Weiterleitung die HTTP URLs auf die neue HTTPS Version umleiten. So wird die Webseite immer in der HTTPS Version angezeigt, auch wenn jemand eine alte HTTP URL der Webseite aufruft.

Die .htaccess auf dem Server wie folgt anpassen/ergänzen:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Links zur Überprüfung:

 

Tipp Why No Padlock?

Überprüfung „mixed content“ bei der Umstellung auf https

 

Tipp SSL Server Test (Powered by Qualys SSL Labs)

Test nach der Umstellung von Webseiten auf https

 

Tipp Redirect Checker | 301re.direct

Überprüfung von suchmaschinenfreundlichen Weiterleitungen

 

Wenn man Google’s Search Console nutzt, sollte man darauf achten, dass auch dort die HTTPS Version der Webseite angegeben wird. Auch bei der Statistik muss man die HTTPS Version der Webseite angeben. Außerdem sollte die XML-Sitemap Datei aktualisiert werden. Bei externen Links aktualisieren was möglich ist z.B. soziale Netzwerke, etc..

 

SEO 2018

Mobile Webseiten zuerst. Auf der SMX East Konferenz in New York erklärte Googles Web-Trend-Analyst Gary Illyes, dass Google bereits mit dem Roll-Out des Mobile-first-Index begonnen hat. Betroffen sind bisher nur einige Webseiten und der Roll-out findet nur langsam statt. SEODennoch sollten sich Seitenbetreiber spätestens jetzt mit Mobile first auseinandersetzen. Faktoren wie Ladezeit, Lesbarkeit und Struktur der Navigation sollten SEOs dabei besonders beachten. Webseitenbetreiber müssen sich genau mit ihren SEO Daten auseinandersetzen und Absprungraten, Verweildauer und Conversions im Auge behalten. Mit diesen Daten bewertet Google den Wert einer Webseite für die Besucher. Besonders das Thema künstliche Intelligenz, auf welches auch Google setzt, macht es schwierig, sich anhand festgelegter Kriterien durch den SEOdschungel zu finden. OnPageSEO ist und bleibt einer der wichtigsten Faktoren im Bereich der SEO-Optimierung, denn alle weiteren Maßnahmen können sonst keine Wirkung zeigen, da sie auf die OnPageSEO abzielen. Ansonsten bleibt es bei den über 200 Ranking-Faktoren. Google wird weiterhin auf einwandfreie Codes, sichere Internetseiten und auf Inhalte setzen! U.a. ausführliche Texte, gut strukturierte Texte, leicht verständliche Texte, Videos & Bilder auf Seiten, Verweildauer, Absprungraten, …

Webdesign für mobile Geräte

Im Laufe der letzten Zeit sind vermehrt mobile Endgeräte, z.B. Tablet & Smartphone auf den Markt gekommen, die zum Teil Probleme mit der Darstellung bzw. Benutzung einiger bestehenden Desktop – Webseiten haben.
Es gibt verschiedene Möglichkeiten diesem Problem zu begegnen: Eine Webseite für alle Geräte die sich anpasst, schimpft sich „Responsive Webdesign“ oder über den Server: Dynamic Serving. Als dritte Option bietet sich eine separate mobil-optimierte Webseite: mobile Inhalte sind dann unter einer anderen URL abrufbar.
Da Google ab April 2015 Unterschiede in den Suchergebnissen machen wird, ist es von Vorteil eine mobilfähige Homepage zu haben, um in allen Suchergebnissen (Desktop & mobil) gut zu ranken.
Einen WordPress-Blog kann man mit einem Plugin aufrüsten, z.B. WP-Touch.

SITECHECK – Homepage – Tools zur Überprüfung von Webseiten

Eine riesige Ansammlung von Links zum Überprüfen von Websites bietet Uitest.com. Unter den Links Analysis, Specials und Site Check befinden sich jede Menge Tests zur Optimierung und Überprüfung des Quelltextes einer Webseite (W3C-Standards), Suchmaschinenoptimierung, Barrierefreiheit, Ladezeit und vieles mehr.

 

Seitwert

Verschiedene SEO-Tools, teils kostenpflichtig – Website-Analyse

 

W3C-Test

Websitetest nach Richtlinien des W3C – World Wide Web Consortium

=> Informationen zur W3C-konformen Homepageerstellung

 

Mobile Test von Google

Websitetest zur Mobilfähigkeit auf Smartphones,  Tablets, …

– Ein Google SEO Kriterium für das Ranking in der mobilen Suche

=> mehr Informationen zum mobilen Webdesign