Google hat bereits Ende letzten Jahres angekündigt, dass Webseiten ohne Verschlüsselung in Googles Chrome-Browser als unsicher gekennzeichnet werden. Außerdem wird SSL-Verschlüsselung zukünftig auch als Baustein im Website-Ranking positiven Einfluss nehmen. Websites, die Daten von Nutzern - beispielsweise über Kontaktformulare - erheben, sollten mindestens das Formular, besser die ganze Website verschlüsselt via HTTPS ausliefern. Für Shops gilt das gleiche: spätestens ab Eingabe der Käuferdaten bzw. ab Login sollten die Daten zum Schutz der Privatsphäre verschlüsselt übertragen werden. Wie zeigen, wie Sie die Umsetzung meistern.

Webserver-Zertifikat

Für die Umstellung muss zunächst einmal ein Webserver-Zertifikat erworben werden. Dies kann über hueddersen.de bezogen werden und kostet pro Monat 3.- € zzgl. MwSt. Der Webserver kann die Seiten zwar auch ohne eigenes Zertifikat verschlüsselt ausliefern, aber dann meckert der Browser beim Kunden immer, dass das Zertifikat nicht vertrauenswürdig ist und empfiehlt, die Seite lieber wieder zu verlassen. Also installiert man besser ein gekauftes Zertifikat, dass von einem vertrauenswürdigen Dritten (nämlich dem Zertifikatsaussteller) digital signiert wurde und von jedem Browser als vertrauenswürdig akzeptiert wird.

Die korrekte Konfiguration des Webservers reicht aber nicht aus. Woher soll ein Nutzer schließlich wissen, dass es die Seite auch verschlüsselt gibt?

Umleitung auf die verschlüsselte Seite

Für die komplette Umstellung müssen alle unverschlüsselten Seitenaufrufe auf die verschlüsselte Seite weitergeleitet werden. Wer also http://www.domain-xy.de aufruft, wird dann auf https://www.domain-xy.de weitergeleitet. Das funktioniert am besten, indem man den Webserver beauftragt, diese Umleitung vorzunehmen. Dies geschieht mittels der Datei '.htaccess' im Hauptverzeichnis der Website. Diese wird ergänzt oder neu angelegt mit dem Eintrag

RewriteEngine On

RewriteCond %{HTTP_HOST} !^(www\.)domain-xy\.de$
RewriteRule (.*) https://www.domain-xy.de [R=301,L]

Der Webserver antwortet dann mit dem Statuscode 301 ('Moved permanently') auf eine Anfrage nach der unverschlüsselten Seite und gibt als neue Adresse die verschlüsselte URL an, die der Browser dann lädt. Alternativ oder auch zusätzlich bieten viele Content-Management-Systeme die Möglichkeit, die Verwendung von HTTPS zu erzwingen. Bei Joomla geschieht das in der System-Konfiguration unter 'Server':

 

Kanonische URL

Nimmt man die verschlüsselte und die unverschlüsselte Version der Website zusammen mit der Möglichkeit, sie mit oder ohne vorangestelltes 'www.' aufzurufen, so ergeben sich schon vier Möglichkeiten des Aufrufs. Das kann dem Webmaster eigentlich egal sein, denn es wird ja immer derselbe Inhalt ausgeliefert. Das genau ist aber das Problem, denn Suchmaschinen mögen das nicht und sortieren die Seiten im schlimmsten Fall als Spam bzw. Duplicate Content aus. Letztlich will kein Nutzer viermal hintereinander den gleichen Eintrag in der Ergebnisliste seiner Suchanfrage sehen. Daher gibt es die sogenannte Kanonische URL, die der Suchmaschine sagt, welche Version die vom Webmaster empfohlene ist. Nur diese wird dann in den Suchindex aufgenommen. Dies wird über den Eintrag

<link href="https://www.domain-xy.de/seite.html" rel="canonical" />

im HEAD der Webseite angezeigt. Meist geschieht das automatisch durch das verwendete Content-Management-System. Wer also ein CMS wie z.B. Joomla verwendet, muss genau prüfen, was das System an den Browser ausliefert. Bei Joomla sorgt z.B. das Plugin 'System - SEF' dafür, dass ein Canonical-Link in allen Seiten erscheint, die nicht über die kanonische URL ausgeliefert werden. Welche URL das Plugin als kanonisch ansieht, muss im Plugin eingetragen werden. Steht hier noch die unverschlüsselte URL, sorgt das zumindest für einige Verwirrung bei den Suchmaschinen, die nun nicht mehr wissen, welche Version gelten soll: die verschlüsselte, auf die sie weitergeleitet wurden oder die unverschlüsselte, die der Canonical-Link angibt.

Besser als das bei Joomla mitgelieferte SEF-Plugin sind Plugins, die den Canonical-Link auch dann ausgeben, wenn die Seite über die kanonische URL aufgerufen wurde. Bewährt hat sich z.B. Aimy Canonical:

Interne Links anpassen

Wenn Sie ihr Content-Management-System auf HTTPS umstellen, sollten alle internen Links automatisch auf die HTTPS-Version der entsprechenden Seite zeigen. Wenn Sie allerdings Links direkt in die Seite eingefügt haben, ohne die Funktion des CMS dafür zu nutzen, zeigen diese Verlinkungen weiter auf die unverschlüsselte Seite. Das Gleiche gilt für Websites, die ohne CMS erstellt wurden. Auch hier zeigen die Links nach der Umstellung zunächst weiterhin auf die falsche Version. Leider hilft hier nur Handarbeit. Schauen Sie ihre Verlinkungen durch und korrigieren Sie sie. Vergessen Sie dabei nicht, dass auch das Menü bzw. die Seitennavigation eine Verlinkung darstellt und auf die HTTPS-Seiten zeigen muss.

Google benachrichtigen

Nachdem auf der Seite alles eingerichtet ist, alles verschlüsselt übertragen wird und die kanonische URL richtig gesetzt ist, muss zum Schluss auch Google von der Änderung erfahren. Die vorgenommenen Maßnahmen sollten zwar bereits ausreichen, um die Suchmaschine im Laufe der folgenden Wochen auf die richtige Spur zu setzen. Mit einer Sitemap in den Google Webmaster Tools (https://www.google.de/intl/de/webmasters/) wird dieser Prozess aber zusätzlich unterstützt. Für Bing gibt es unter www.bing.com/toolbox/webmaster ein entsprechendes Tool.

Wer sich noch nicht bei Googles Webmaster Tools angemeldet hat, muss sich zunächst registrieren. Danach wird jede Website als sog. Property verwaltet. Wer die Webmaster Tools bereits benutzt, hat möglicherweise bereits eine Property für die HTTP-Version (unverschlüsselt). Die HTTPS-Version muss aber in jedem Fall als neue Property geführt werden. Ein einfaches "Umbenennen" der HTTP-Version führt nicht zum Erfolg.

Wenn die Property eingerichtet ist, muss nun eine Sitemap unter Crawling -> Sitemaps angegeben werden. Sitemaps enthalten Links zu allen Seiten der Site in einem speziellen XML-Format. Online lässt sich eine solche Sitemap für Sites mit max. 500 Seiten z.B. unter https://www.xml-sitemaps.com/ generieren. Dort gibt man die URL an und das Portal durchsucht die Site mit Hilfe der Links auf den Seiten. Am Ende bietet es eine Datei namens 'sitemap.xml' zum Download an, die auf den eigenen Webserver geladen werden muss. Die URL dieser Sitemap-Datei (z.B. http://www.domain-xy.de/sitemap.xml) wird dann in den Webmaster Tools eingetragen und Google indexiert die Site dann anhand dieser Liste.

Selber machen oder machen lassen

Wer noch nie mit Plugins seines Content-Management-Systems oder den Google Webmaster Tools hantiert hat, wird möglicherweise seine Schwierigkeiten haben und zumindest recht lange für die Umstellung benötigen. Daher bieten wir die Umstellung ihrer Website als Agenturleistung an. Sprechen Sie uns einfach für ein unverbindliches Angebot unter Telefon (0 55 22) 91 90 06 an oder benutzen Sie unser Kontaktformular.