Wer aktuell seine Website noch unverschlüsselt über das Protokoll HTTP betreibt, ist gut beraten so bald als möglich auf HTTPS umzustellen – und dies nicht nur aus rechtlichen Gründen (siehe Abschnitt „Online-Formulare“ in einem unserer früheren Artikel).

Google hat bereits vor einigen Monaten angekündigt, aktiv unter Chrome vor Seiten zu warnen, die Inhalte unverschlüsselt versenden. Mit der Veröffentlichung von Chrome 68 wird diese ab Ende Juli 2018 für alle eingeblendet: ^[1]

Bei einer Umstellung ist darauf zu achten, auch sämtliche Bilder, Skripte und Stylesheets auf der Seite über HTTPS zu laden. Werden diese Verlinkungen nicht aktualisiert, könnten diese noch über HTTP geladen werden. Ist dies der Fall, wird die Seite trotzdem als unsicher markiert. Das Stichwort lautet hier „Mixed Content“ – also dass Seitenteile über eine sichere HTTPS als auch über eine unsichere HTTP-Verbindung geladen werden.

Um nach einer Umstellung allerdings nicht im Suchmaschinen-Ranking abzufallen, ist es wichtig alle HTTP-URLs 1 zu 1 über einen 301-Redirect auf die entsprechende HTTPS-URL umzuleiten. Ein 301-Redirect steht hier für „Moved Permanently„.
Damit wird der Suchmaschine mitgeteilt, dass die alte URL nun unter einer neuen URL erreichbar ist. Ansonsten behandelt Google die Links eine komplett neue Seite – bereits vorhandene Backlinks oder Ähnliches würden somit zunichtegemacht.
Eine mögliche Umsetzung mithilfe einer .htaccess-Datei wäre zum Beispiel folgende:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

In der ersten Zeile wird das Apache Rewrite-Module (mod_rewrite) aktiviert, welches generell Umleitungen ermöglicht. In der Zweiten wird geprüft, ob HTTP statt HTTPS verwendet wird, falls ja, wird in der 3. Zeile auf die HTTPS-Version umgeleitet.

Die Umleitung ist ein wesentlicher Schritt – ist die Website über HTTP als auch über HTTPS erreichbar, so handelt es sich schlicht und einfach um ein Duplikat. Google wird eine Seite davon – meistens die zuletzt entdeckte, also in diesem Fall die HTTPS-Version — nicht indizieren und somit nicht listen.

[1] https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Keine Neuigkeiten mehr verpassen? Melden Sie sich hier für unseren Newsletter an!

Über den Autor:

Ing. Philipp Doblhofer

Head of Development

Die Leidenschaft an Software- und Webentwicklung ist bei Philipp seit über 10 Jahren ungebrochen. Bereits während dem Studium an der TU Wien gründete er ein Einzelunternehmen, welches individuelle Softwareentwicklung anbot. Aus einer langjährigen geschäftlichen Partnerschaft hat sich daraus schlussendlich die Agentur codeaware GmbH entwickelt.