HTTPS: Wie dringend ist die Umstellung?

10.07.2018

https

„Nicht sicher” – dieser Hinweis wird Internetusern in Zukunft häufiger begegnen. Denn mit der Version 68 wird der beliebte Browser von Google “Chrome“ noch deutlicher auf die vermeintliche Unsicherheit von Webseiten hinweisen, die nicht über HTTPS erreichbar sind. Wie gefährlich ist diese Neuerung für Webseiten, die immer noch das gewohnte HTTP nutzen? Wie dringend ist eine Umstellung auf HTTPS unter SEO-Aspekten? Und wie funktioniert die Anpassung? Der Aufwand hierfür hält sich in Grenzen – und macht sich bezahlt.

Was ist HTTPS?

Einfach gesagt: HTTPS ist das, was ganz vorn in der Adresszeile des Browsers steht. Bei der Eingabe einer Domain, wird das Kürzel „https://” der Domain automatisch vorangestellt. Manchmal fehlt aber auch das “s”, dann erscheint nur „http://”.

HTTP steht für das im Internet verwendete Übertragungsprotokoll. HTTPS ist HTTP mit einer zusätzlichen Sicherheit: Die Daten werden verschlüsselt gesendet.

  • HTTP = Hypertext Transfer Protocol
  • SSL = Secure Socket Layer
  • HTTPS = HTTP + SSL (Hypertext Transfer Protocol Secure)

Technisch gesehen erzeugen beide an der Kommunikation über HTTPS beteiligten Computer einen geheimen Schlüssel, über den sie Daten austauschen. Anschließend wird ein weiterer öffentlicher Schlüssel erzeugt. Dieser basiert auf einem Zertifikat, welches die Authentizität des Ausstellers garantiert. Von außen kann auf die Inhalte der ausgetauschten Informationen nicht zugegriffen werden. Insofern sind HTTPS-Verbindungen tatsächlich sicherer.

Was die meisten Surfer nicht kennen, ist die Reichweite der Unsicherheit von HTTP. Denn der bloße Aufruf einer Website über HTTP stellt keine Gefahr dar. Erst bei der Weitergabe von Daten über das ungesicherte Protokoll können Sicherheitslücken relevant werden. Eine Webseite ohne jegliche Eingabefelder für Adressen, Passwörter oder Kreditkarteninformationen ist also in der Regel harmlos und bedarf keiner HTTPS-Verbindung.

Google möchte das Internet sicherer machen

Der Chrome-Browser zeigte bisher schon bei allen nicht zertifizierten Seiten links neben der Adresszeile ein kleines Info-Symbol. Klickt man darauf, erscheint eine Warnung: „Die Verbindung zu dieser Website ist nicht sicher.” Dieser Hinweis wird grundsätzlich bei allen Webseiten ohne HTTP-Verbindung angezeigt, auch wenn sie Seiten keinerlei Informationen vom Besucher anfordern.

Erfahrene Internetuser ignorieren diesen Hinweis deshalb meist. Der Otto Normalsurfer jedoch erschreckt sich – und im schlimmsten Fall klickt er auf den Back-Button. Ein Besucher weniger für die Webseite und eine Erhöhung der Bounce-Rate (Absprungrate). Google ist eine Internet-Autorität mit einer großen Glaubwürdigkeit. Ein von ihnen angezeigter Wahnhinweis kann daher bei einigen Surfern zu übertriebenen Reaktionen führen auch, wenn der Hinweis ungerechtfertigt sein sollte.

Ab Version 68 des Chrome-Browsers kommt es noch dicker: Dann erscheint der Sicherheitshinweis genau zwischen dem Info-Symbol und der Internetadresse, auch dann, wenn der User nicht auf das Symbol klickt. Der Hinweis bleibt während des ganzen Besuchs in der Adresszeile stehen. Spätestens jetzt sollten bei jedem Webmaster, der Wert auf eine seriöse Darstellung seines Angebots im Netz legt, alle Alarmglocken läuten.

HTTPS und SEO

Zwar spielt HTTPS als offizieller Bewertungsfaktor bei Google noch eine untergeordnete Rolle. Was jedoch kein Webmaster unterschätzen darf, sind psychologische Aspekte, die vor allem bei unerfahrenen Internetbenutzern eine Rolle spielen. Dieser Faktor kann auf Dauer negative Auswirkungen haben. Denn je öfter Besucher aufgrund des immer deutlicheren Warn-Hinweises auf den Zurück-Button ihres Browsers klicken, umso höher wird die Absprungrate einer Site – und diese ist unzweifelhaft ein wichtiges Ranking-Kriterium.

Dass Internetsurfer zunehmend Wert auf Sicherheit legen, zeigen Statistiken. Die Zahl der Aufrufe von Seiten mit HTTPS wächst kontinuierlich, herkömmliche HTTP-Seiten geraten zusehends in die Minderheit. Auch wenn der Aufruf einer ungefährlichen Seite tatsächlich überhaupt keinen Schaden anrichten kann: Die Platzierung in der „Schmuddelecke” des Webs lässt sich für die betroffenen Seiten kaum wegdiskutieren – zumal kein Zweifel besteht, dass andere Browser dem Beispiel von Chrome folgen werden. Der Warnhinweis ist besonders für den so wichtigen ersten Eindruck einer Seite negativ. Wer dies vermeiden will, muss tätig werden.

Mit wenig Aufwand zum SSL-Zertifikat

Zunächst gilt es zu prüfen, ob überhaupt Handlungsbedarf besteht. Denn viele Webmaster wissen gar nicht, dass ihre Seite bereits über HTTPS läuft. Dies zu prüfen ist recht einfach: Man gibt die Adresse der Webseite vollständig in die Adresszeile des Browsers ein, also mit „https://” vor der Domain. Wird die Seite angezeigt, ist alles okay. Wenn nicht, zeigt der Browser eine Fehlermeldung.

SSL-Zertifikate sind bei vielen Hosting-Providern bereits als Zusatzleistungen in den Angeboten enthalten. Kostenlose Zertifikate sind auch über Anbieter wie Let’s Encrypt erhältlich. Nach der Einrichtung des Zertifikats auf dem Server müssen dann nur noch Weiterleitungen gesetzt werden. Diese stellen sicher, dass der User beim Aufruf einer HTTP-Version automatisch die HTTPS-Version erreicht. In einem anschließenden Testdurchlauf werden Formulare und Downloads noch einmal auf ihre Funktionalität geprüft. Wenn alles geklappt hat, wird die Website im Browser als sicher angezeigt.

Fazit

Spätestens mit der Version 68 des Chrome-Browsers wird sich wohl kaum ein Webmaster mit SEO-Ambitionen davor drücken können, seine Internetseiten auf HTTPS umzustellen. Der Aufwand dafür ist relativ gering. Wer auf Nummer sicher gehen will, verwendet etwas Zeit für SSL-Zertifikate und gewinnt dadurch mehr Sicherheit – vor allem vor hohen Absprungraten.