HTTPS – darauf müssen SEOs achten

Wie von Barry Schwartz von Searchengineland zuerst berichtet hat Google hat nun offiziell bestätigt, dass die verschlüsselte Übertragung der Websiteinhalte über HTTPS ein positiver Rankingfaktor ist: Websites, die ein SSL-Zertifikat besitzen und nutzen, erhalten einen Bonus in ihrer Bewertung.

Auch wenn Google explizit darauf hinweist, dass diese Algorithmusänderung nur etwa 1% aller Suchanfragen beeinflusst, kann in einzelnen Fällen auch diese kleine Änderung das Zünglein an der Waage sein.

Der Datentransport über HTTPS  hat den Vorteil, dass Inhalte vom Server bis zum Browser des Users verschlüsselt werden und Angreifer, die sich auf der Strecke dazwischen befinden, können die Daten nicht mitlesen. Das ist zum Beispiel in öffentlichen WLAN-Netzen hilfreich, wo User im selben Netzwerk andernfalls Zugangsdaten und andere persönliche Inhalte im Klartext mitschneiden könnten.

Im Bezug auf SEO ist die Umstellung einer normalen HTTP-Verbindung auf HTTPS nicht ohne Fallstricke. Diese Punkte sollte dabei bedenken:

Neue URLs & Duplicate Content

Wenn die URLs nicht mehr http://example.com, sondern https://example.com lauten, ist das eine neue URL. Es ist sicherzustellen, dass nur eine der beiden Versionen eine gültige Seite ausliefert, denn der selbe Inhalt auf unterschiedlichen URLs ist Duplicate Content, mit dem Google möglicherweise nicht umgehen kann, weil ein eindeutiges Signal fehlt, welche der beiden Varianten ranken soll.

Nach der Umstellung sollten die alten http-URLs auf die neuen weitergeleitet werden. Das geht mit minimalem Aufwand über die .htaccess Datei:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Wird dieser Code am Anfang der Datei eingefügt, erhalten User (und Suchmaschinencrawler), die eine ungesicherte URL aufrufen, eine Weiterleitung auf die https-Entsprechung. Wichtig: Die Weiterleitung sollte wie hier eingestellt mit dem Statuscode 301 (permanente Weiterleitung) geschehen, damit Google die Änderungen auch in den Index übernimmt.

Alle Ressourcen über HTTPS ausliefern

Nur wenn wirklich alle Ressourcen (Bilder, Skripte, Fonts, CSS-Dateien, …) auf der Website über HTTPS ausgeliefert werden, stimmt auch der Browser zu, dass die Seite sicher ist. Ist das nicht der Fall wird der Einsatz der Zertifikats auch nicht mit einem grünen Schlosssymbol honoriert.

Screenshot von unsicherer SSL-Verbindung

Darstellung im Chrome-Browser

Werden Ressourcen von externen Servern geladen (zum Beispiel jQuery über das Google Content Delivery Network), sollten diese URLs grundsätzlich protokollrelativ angegeben werden, also ohne vorangestelltest „http:“ oder „https:“

Gültigkeitsbereich des Zertifikats

Das bedeutet natürlich auch, das passende Zertifikat auszuwählen. Wenn die eigenen Ressourcen unter Subdomains liegen, also beispielsweise static.example.com, dann muss das Zertifikat auch für diese Subdomain gültig sein. Dafür bietet sich ein sogenanntes Wildcard-Zertifikat an.

Die HTTPS-Seite in den Webmaster Tools anmelden

Damit Du weiterhin Googles Meldungen zu Deiner Seite in den Webmaster Tools verfolgen kannst, muss die Seite erneut mit dem neuen, vorangestellten https:// eingetragen werden.

XML-Sitemaps aktualisieren

Eigentlich eine Selbstverständlichkeit des Content Management Systems, aber trotzdem häufig vergessen: Die URLs müssen natürlich auch in der XML-Sitemap aktualisiert werden.

Interne Verlinkung

Intern sollte – wie nach jeder URL-Umstellung – ausschließlich auf die neuen https-URLs verwiesen werden. Ansonsten kommt es intern zu Weiterleitungen und die sind ein negatives Rankingsignal.

Serverperformance

Verschlüsselung kostet Rechenressourcen, deswegen sollte vor der Umstellung sichergestellt werden, dass der Server mit der zusätzlichen Last zurechtkommt, bevor die Änderung für alle User live geschaltet wird. Wenn das nicht garantiert ist, ist der Umstieg auf HTTPS ein guter Anlass, sich nach einem stärkeren Server umzusehen. Schließlich ist Ladezeit allgemein schon seit Längerem ein Rankingfaktor in Googles Algorithmus.

Welches Zertifikat ist das Richtige?

Es gibt zahllose Anbieter von Zertifikaten, die sich grundsätzlich natürlich stark ähneln, was die Auswahl erschwert. Eines der Kernmerkmale ist die Länge des genutzten Schlüssels. Google stellt hierzu unmissverständlich klar, dass sie sich 2048 Bit lange Schlüssel wünschen – verständlich, denn je länger der Schlüssel ist, desto schwerer ist die Verschlüsselung zu knacken.

Neben der Schlüssellänge gibt es auch noch unterschiedliche Typen von Zertifikaten, die sich vor allem darin unterscheiden wie intensiv die Identität des Zertifkatsinhabers vom Zertifikatsaussteller geprüft wird. Für einfache Zertifikate reicht schon die Bestätigung über einen Email-Link, für High-End-Zertifikate wie Extended Validation wird tatsächlich die Identität der abschließenden Personen überprüft, für Unternehmen teilweise sogar ein Handelsregisterauszug verlangt.

Je strenger die Vergabekriterien des Zertifikats sind, desto sicherer wird es vom Browser eingeschätzt und die Darstellung für den User verändert sich.

Extended Validation SSL Zertifikat

Gerade bei hochpreisigen Produkten und solchen, bei denen es um höchst private Daten geht (Onlinebanking, Versicherungen, Kredite), kann diese Darstellung ein relevanter Trustfaktor sein und die Conversionrate positiv beeinflussen. Grundsätzlich gilt also: Je strenger die Vergabekriterien, desto besser. Dadurch steigt der Aufwand für die Vergabestelle und diese Zertifikate sind teurer, können sich aber spätestens jetzt wo SSL auch noch ein Rankingfaktor ist, wirklich lohnen.

SSL-Zertifikate müssen regelmäßig erneuert werden und werden in der Regel für ein oder zwei Jahre ausgestellt und auch in diesem Rhythmus bezahlt. Einfache Zertifikate bieten schon Webhostinganbieter an, so kostet ein einfaches Zertifikat bei all-inkl.com beispielsweise 99 Euro pro Jahr.

Für größere Projekte und Unternehmen, die eigene Server betreiben und die Zertifikate selbst auf den eigenen Servern einrichten, gibt es auch spezielle Anbieter. Empfehlungen von uns sind u.a. Thawte, GeoTrust oder auch die Signtrust-Zertifikate, die von der Deutschen Post angeboten werden.

--

Hat Dir der Artikel gefallen?

Neue Artikel, Updates zu unseren Artikeln und Artikel von anderen Stellen wir regelmäßig unserem Newsletter.

Beispielausgaben und Anmeldung findest Du unter Wingmen-Newsletter