SSL Verschlüsselung & SEO
Daniel Marx
Mit Hilfe von SSL / TLS wird beim Surfen im Web der Datenverkehr zwischen Browser und Server verschlüsselt. So wird sichergestellt, dass niemand Daten mitschreibt oder einschleust. Besonders relevant ist das natürlich bei der Übertragung persönlicher Daten über Kontaktformulare oder in Webshops.
SSL (Secure Socket Layer) bzw. mittlerweile eigentlich das neuere Nachfolgeprotokoll TLS (Transport Layer Security) verschlüsselt also nicht „eine Website“ sondern sorgt für eine sichere Verbindung beim Zugriff auf eine Website.
Auch wenn mittlerweile die meisten Webshops die Verschlüsselung nutzen sind die meisten anderen Websites unverschlüsselt zu erreichen. Bisher schreckten Webmaster und Seitenbetreiber vor allem auf Grund der hohen Kosten und des zeitlichen Aufwandes davor zurück eine verschlüsselte Version Ihrer Website zu Verfügung zu stellen.
Wann ist eine Seite verschlüsselt?
Eine Seite die verschlüsselt zu erreichen ist erkennt man daran, dass vor der Domain ein https statt http steht. Die meisten Browser zeigen außerdem ein grünes Schloss links in der Browserleiste:
Ruft man eine Seite über https auf, antwortet der Server dem Client zunächst mit seinem Zertifikat. Damit kann der anfragende Host beim Aussteller des Zertifikats die Identität des Servers überprüfen und verifizieren.
Was sind die Vorteile einer HTTPS Verschlüsselung für Webseitenbetreiber?
Vertrauensbildend
In erster Linie heißt Verschlüsselung natürlich Datensicherheit. Der User kann sich sicher sein, dass persönliche Daten, von Email bis zu Kreditkartendetails nicht in die Hände Dritter gelangen. Zumindest nicht bei der Übermittlung über die Webseite. Daher vermittelt eine SSL Verschlüsselung auch ein gewisses Maß an Vertrauen. Der „Trust“ in eine Website steigt.
Rankings
Schon vor 2 Jahren im Sommer 2014 hat Google offiziell verkündet SSL zu einem Rankingfaktor zu machen, auch in der Hoffnung mehr Webmaster zum Wechsel auf https zu animieren. Weil aber der Effekt zunächst verschwindend gering war, ging der Anteil an verschlüsselten Seiten zunächst nicht im erwarteten Ausmaß nach oben.
Mittlerweile aber hat die HTTPS Verschlüsselung einen messbaren Einfluss auf die Rankings, wie der Tool-Provider Searchmetrics bereits vor einem Jahr dargelegt hat. Bis zu 5% an Sichtbarkeit konnten einige Seiten durch den Umstieg auf Verschlüsselung gewinnen.
Datenqualität auf Google Analytics
Ein Punkt der oft ungenannt bleibt, aber für den Seitenbetreiber durchaus relevant ist, liegt in der Datenqualität auf Google Analytics oder ähnlichen Analysetools. Unter dem Punkt Akquise kann man dort sehr leicht sehen, wie die User auf die eigene Website kommen. Über die organische Suche, als Referrals über Links von anderen Websites, über Social Media Plattformen, usw. Alle Zugriffe die Google Analytics nicht zuordnen kann landen zusammen mit den Usern, die die URL direkt in die Browserleiste eintippen in der Kategorie „Direct“.
Kommt ein User von einer verschlüsselten Seite über einen Link auf eine unverschlüsselte Seite, geht im HTTP Header der Referrer verloren. Ohne diese Information kann Google Analytics nicht zuordnen, woher der User stammt und ordnet die Sitzung also unter dem Punkt „Direkt“ ein, obwohl der Besucher vielleicht über einen Link in einem tollen Artikel auf einer anderen Website gekommen ist.
Wie umstellen?
Um die Verbindungen zwischen User Clients und eigener Website zu verschlüsseln, benötigt man ein Zertifikat mit öffentlichem und privatem Schlüssel, von einer vertrauenswürdigen Zertifizierungsstelle (z.B. VeriSign, GeoTrust oder Symantec). Die Erstellung, Validierung, Signierung, Einrichtung und Erneuerung dieses Zertifikats war bisher aufwendig und teuer.
Seit Ende 2015 können Domain-Validation-Zertifikate aber relativ einfach über Let’s Encrypt, einem Zertifizierungsdienst der gemeinnützigen Internet Security Research Group erstellt werden. Strengere Zertifikate, wie Organization-Validation- oder Extended-Validation-Zertifikate müssen weiterhin über die großen Zertifizierungsstellen bezogen werden.
Was ist zu beachten
Gibt es ein gültiges SSL-Zertifikat und die Website ist über https abrufbar, dann sollte auch nur diese Version online sein.
Die normalen http Varianten (www und non-www) sollten via 301 redirect auf die richtige https Version weiterleiten. Die „richtige“ https Version heißt, dass die Website auch über https nur über eine Version erreichbar ist: https://www.example.com oder https://example.com.
Wichtig ist, dass alle Ressourcen einer Website auch verschlüsselt abgerufen werden können. Wenn zum Beispiel Bilder von anderen Domains, externe CSS Ressourcen – wie Google Fonts oder ähnliche – eingebunden werden, müssen diese auch über https laden. Ansonsten zeigt der Browser dem Nutzer hässliche Warnungen und all das Vertrauen, das wir uns von der Verschlüsselung erhoffen, ist dahin.
Um unnötige Redirects zu vermeiden sollten absolute interne Links angepasst werden. Besonderes Augenmerk gilt dabei Canonical und hreflang Tags! Auch Links von anderen Webseiten, auf die man selbst Einfluss hat sollten angepasst werden.
Ist die Website schließlich nur mehr über https zu erreichen muss für diese Version auch eine neue Property in der Google Search Console eingerichtet werden. Hier sollte man dann auch gleich die XML Sitemap neu hochstellen und gegebenenfalls ein hochgeladenes Disavow File mit übersiedeln.
Titelbild: Let’s Encrypt Logo, CC-BY-NC 4.0