HTTPS als neues Rankingsignal: Was man beachten muss

Wie von Barry Schwartz von Searchengineland zuerst berichtet hat Google hat nun offiziell bestätigt, dass die verschlüsselte Übertragung der Websiteinhalte über HTTPS ein positiver Rankingfaktor ist: Websites, die ein SSL-Zertifikat besitzen und nutzen, erhalten einen Bonus in ihrer Bewertung.

Auch wenn Google explizit darauf hinweist, dass diese Algorithmusänderung nur etwa 1% aller Suchanfragen beeinflusst, kann in einzelnen Fällen auch diese kleine Änderung das Zünglein an der Waage sein.

Der Datentransport über HTTPS  hat den Vorteil, dass Inhalte vom Server bis zum Browser des Users verschlüsselt werden und Angreifer, die sich auf der Strecke dazwischen befinden, können die Daten nicht mitlesen. Das ist zum Beispiel in öffentlichen WLAN-Netzen hilfreich, wo User im selben Netzwerk andernfalls Zugangsdaten und andere persönliche Inhalte im Klartext mitschneiden könnten.

Im Bezug auf SEO ist die Umstellung einer normalen HTTP-Verbindung auf HTTPS nicht ohne Fallstricke. Diese Punkte sollte dabei bedenken:

Neue URLs & Duplicate Content

Wenn die URLs nicht mehr http://example.com, sondern https://example.com lauten, ist das eine neue URL. Es ist sicherzustellen, dass nur eine der beiden Versionen eine gültige Seite ausliefert, denn der selbe Inhalt auf unterschiedlichen URLs ist Duplicate Content, mit dem Google möglicherweise nicht umgehen kann, weil ein eindeutiges Signal fehlt, welche der beiden Varianten ranken soll.

Nach der Umstellung sollten die alten http-URLs auf die neuen weitergeleitet werden. Das geht mit minimalem Aufwand über die .htaccess Datei:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Wird dieser Code am Anfang der Datei eingefügt, erhalten User (und Suchmaschinencrawler), die eine ungesicherte URL aufrufen, eine Weiterleitung auf die https-Entsprechung. Wichtig: Die Weiterleitung sollte wie hier eingestellt mit dem Statuscode 301 (permanente Weiterleitung) geschehen, damit Google die Änderungen auch in den Index übernimmt.

Alle Ressourcen über HTTPS ausliefern

Nur wenn wirklich alle Ressourcen (Bilder, Skripte, Fonts, CSS-Dateien, …) auf der Website über HTTPS ausgeliefert werden, stimmt auch der Browser zu, dass die Seite sicher ist. Ist das nicht der Fall wird der Einsatz der Zertifikats auch nicht mit einem grünen Schlosssymbol honoriert.

Screenshot von unsicherer SSL-Verbindung

Darstellung im Chrome-Browser

Werden Ressourcen von externen Servern geladen (zum Beispiel jQuery über das Google Content Delivery Network), sollten diese URLs grundsätzlich protokollrelativ angegeben werden, also ohne vorangestelltest „http:“ oder „https:“

Gültigkeitsbereich des Zertifikats

Das bedeutet natürlich auch, das passende Zertifikat auszuwählen. Wenn die eigenen Ressourcen unter Subdomains liegen, also beispielsweise static.example.com, dann muss das Zertifikat auch für diese Subdomain gültig sein. Dafür bietet sich ein sogenanntes Wildcard-Zertifikat an.

Die HTTPS-Seite in den Webmaster Tools anmelden

Damit man weiterhin Googles Meldungen zur eigenen Seite in den Webmaster Tools verfolgen kann, muss die Seite erneut mit dem neuen, vorangestellten https:// eingetragen werden.

XML-Sitemaps aktualisieren

Eigentlich eine Selbstverständlichkeit des Content Management Systems, aber trotzdem häufig vergessen: Die URLs müssen natürlich auch in der XML-Sitemap aktualisiert werden.

Interne Verlinkung

Intern sollte – wie nach jeder URL-Umstellung – ausschließlich auf die neuen https-URLs verwiesen werden. Ansonsten kommt es intern zu Weiterleitungen und die sind ein negatives Rankingsignal.

Serverperformance

Verschlüsselung kostet Rechenressourcen, deswegen sollte vor der Umstellung sichergestellt werden, dass der Server mit der zusätzlichen Last zurechtkommt, bevor die Änderung für alle User live geschaltet wird. Wenn das nicht garantiert ist, ist der Umstieg auf HTTPS ein guter Anlass, sich nach einem stärkeren Server umzusehen. Schließlich ist Ladezeit allgemein schon seit Längerem ein Rankingfaktor in Googles Algorithmus.

Welches Zertifikat ist das Richtige?

Es gibt zahllose Anbieter von Zertifikaten, die sich grundsätzlich natürlich stark ähneln, was die Auswahl erschwert. Eines der Kernmerkmale ist die Länge des genutzten Schlüssels. Google stellt hierzu unmissverständlich klar, dass sie sich 2048 Bit lange Schlüssel wünschen – verständlich, denn je länger der Schlüssel ist, desto schwerer ist die Verschlüsselung zu knacken.

Neben der Schlüssellänge gibt es auch noch unterschiedliche Typen von Zertifikaten, die sich vor allem darin unterscheiden wie intensiv die Identität des Zertifkatsinhabers vom Zertifikatsaussteller geprüft wird. Für einfache Zertifikate reicht schon die Bestätigung über einen Email-Link, für High-End-Zertifikate wie Extended Validation wird tatsächlich die Identität der abschließenden Personen überprüft, für Unternehmen teilweise sogar ein Handelsregisterauszug verlangt.

Je strenger die Vergabekriterien des Zertifikats sind, desto sicherer wird es vom Browser eingeschätzt und die Darstellung für den User verändert sich.

Extended Validation SSL Zertifikat

Gerade bei hochpreisigen Produkten und solchen, bei denen es um höchst private Daten geht (Onlinebanking, Versicherungen, Kredite), kann diese Darstellung ein relevanter Trustfaktor sein und die Conversionrate positiv beeinflussen. Grundsätzlich gilt also: Je strenger die Vergabekriterien, desto besser. Dadurch steigt der Aufwand für die Vergabestelle und diese Zertifikate sind teurer, können sich aber spätestens jetzt wo SSL auch noch ein Rankingfaktor ist, wirklich lohnen.

SSL-Zertifikate müssen regelmäßig erneuert werden und werden in der Regel für ein oder zwei Jahre ausgestellt und auch in diesem Rhythmus bezahlt. Einfache Zertifikate bieten schon Webhostinganbieter an, so kostet ein einfaches Zertifikat bei all-inkl.com beispielsweise 99 Euro pro Jahr.

Für größere Projekte und Unternehmen, die eigene Server betreiben und die Zertifikate selbst auf den eigenen Servern einrichten, gibt es auch spezielle Anbieter. Empfehlungen von uns sind u.a. Thawte, GeoTrust oder auch die Signtrust-Zertifikate, die von der Deutschen Post angeboten werden.


Verlinkt von

[…] Seite ausliefert, denn der selbe Inhalt auf unterschiedlichen URLs ist Duplicate Content, wie auf Wingmen Online Marketing erklärt […]

[…] HTTPS: Was man beachten muss (wngmn.de) […]

Top 10 der Woche 32/14 - SEO-united.de Blog am 11. August 2014 um 10:17:07

[…] HTTPS: Was man beachten muss – Google hat bestätigt, dass die verschlüsselte Übertragung der Websiteinhalte über HTTPS ein positiver Rankingfaktor ist: Websites, die ein SSL-Zertifikat nutzen, erhalten einen Bonus in ihrer Bewertung. Weiter… […]

Projekt SEO-Gera.de SSL verschlüsselt › SEO Gera am 29. Dezember 2015 um 16:38:01

[…] HTTPS als neues Rankingsignal: Was man beachten muss […]

[…] https als Rankingsignal, aber was tun? – Ruhe bewahren und geplant vorgehen! […]

Kommentare

André am 7. August 2014 um 13:58:05

Ist die Frage, ob man sich den Ranking-Vorteil, den man sich dadurch erhofft, nicht durch die erforderlichen Redirects der eingehenden Links kaputt macht, oder wie seht ihr das?

    Justus Blümer am 7. August 2014 um 14:24:51

    Fast alle Unternehmen haben ohnehin Probleme mit ihrer URL-Struktur oder einen Relaunch in Planung. Der Rankingeinfluss ist wirklich nur gering – drauflosoptimieren und um jeden Preis auf HTTPS umstellen wird keine dramatischen Verbesserungen bringen. Aber insbesondere wenn man es mit anderen Maßnahmen kombiniert ist es absolut sinnvoll, den positiven Effekt von HTTPS mitzunehmen.

Tilo am 7. August 2014 um 14:50:44

Wenn ich mich nicht irre, hat sich ein Fehler in deinem htaccess Code eingeschlichen. Vergleiche mal deinen Code mit dem Vorschlag von Yoast https://yoast.com/move-website-https-ssl/

Ansonsten, danke für die Tipps! :)

    Justus Blümer am 7. August 2014 um 14:54:07

    Danke für den Hinweis, ist korrigiert!

Zoralina am 12. August 2014 um 10:10:44

gilt Gesagtes auch für ssl-Proxy?

Andrej am 12. August 2014 um 12:18:06

Toller Beitrag!

Ich hatte schon immer den Verdacht, dass SSL gesicherte Seiten einen Bonus von google bekommen. Denn in den letzten 12-18 Monaten haben einige Kunden von mir auf SSL umgestellt. Ich habe mich dann gewundert, dass deren Seiten sich überdurchschnittlich gut entwickelt haben. Jetzt ist es offiziell bestätigt.

PS: ich kaufe SSL-Zertifikate für meine SEO-Kunden bei TecSpace für 14,50 EUR/Jahr, 99 EUR bei all-inkl ist mir zu teuer. Das SSL-Angebot ist noch nicht online. Wenn man sich als Kunde registriert, kann man dann SSL-Zertifikate im Kundenbereich ordern.

Norbert am 26. August 2014 um 01:09:03

Moin, was ist mit HSTS, kann man das bedenkenlos einsetzen oder ist das sogar zu bevorzugen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *