Warum spätestens jetzt der richtige Zeitpunkt für den Umstieg auf HTTPS ist

4. Juli 2018

Wer aktuell seine Website noch unverschlüsselt über das Protokoll HTTP betreibt, ist gut beraten so bald als möglich auf HTTPS umzustellen – und dies nicht nur aus rechtlichen Gründen (siehe Abschnitt „Online-Formulare“ in einem unserer früheren Artikel).

Google hat bereits vor einigen Monaten angekündigt, aktiv unter Chrome vor Seiten zu warnen, die Inhalte unverschlüsselt versenden. Mit der Veröffentlichung von Chrome 68 wird diese ab Ende Juli 2018 für alle eingeblendet: [1]


 

Bei einer Umstellung ist darauf zu achten, auch sämtliche Bilder, Skripte und Stylesheets auf der Seite über HTTPS zu laden. Werden diese Verlinkungen nicht aktualisiert, könnten diese noch über HTTP geladen werden. Ist dies der Fall, wird die Seite trotzdem als unsicher markiert. Das Stichwort lautet hier „Mixed Content“ – also dass Seitenteile über eine sichere HTTPS als auch über eine unsichere HTTP-Verbindung geladen werden.

Um nach einer Umstellung allerdings nicht im Suchmaschinen-Ranking abzufallen, ist es wichtig alle HTTP-URLs 1 zu 1 über einen 301-Redirect auf die entsprechende HTTPS-URL umzuleiten. Ein 301-Redirect steht hier für „Moved Permanently„.
Damit wird der Suchmaschine mitgeteilt, dass die alte URL nun unter einer neuen URL erreichbar ist. Ansonsten behandelt Google die Links eine komplett neue Seite – bereits vorhandene Backlinks oder Ähnliches würden somit zunichtegemacht.
Eine mögliche Umsetzung mithilfe einer .htaccess-Datei wäre zum Beispiel folgende:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

In der ersten Zeile wird das Apache Rewrite-Module (mod_rewrite) aktiviert, welches generell Umleitungen ermöglicht. In der Zweiten wird geprüft, ob HTTP statt HTTPS verwendet wird, falls ja, wird in der 3. Zeile auf die HTTPS-Version umgeleitet.

Die Umleitung ist ein wesentlicher Schritt – ist die Website über HTTP als auch über HTTPS erreichbar, so handelt es sich schlicht und einfach um ein Duplikat. Google wird eine Seite davon – meistens die zuletzt entdeckte, also in diesem Fall die HTTPS-Version — nicht indizieren und somit nicht listen.

[1] https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Weitere Meldungen

Alle Pressemitteilungen