HTTPS & SSL-Zertifikat
Warum ist HTTPS ein Ranking-Faktor und wie migriert man eine Webseite sicher von HTTP auf HTTPS?- Was ist HTTPS?
- HTTPS als Ranking-Faktor
- SSL-Zertifikate: Typen und Anbieter
- Migration von HTTP zu HTTPS
- Mixed Content vermeiden und beheben
- HTTPS in Google Search Console einrichten
- HSTS – HTTP Strict Transport Security
Was ist HTTPS?
HTTPS (HyperText Transfer Protocol Secure) ist die sichere Version des HTTP-Protokolls. Die Kommunikation zwischen Browser und Server wird durch TLS (Transport Layer Security, früher SSL) verschlüsselt. Ein SSL-/TLS-Zertifikat erfüllt zwei Funktionen:
- Verschlüsselung – Alle Daten werden verschlüsselt übertragen
- Authentifizierung – Das Zertifikat bestätigt, dass die Webseite zum angegebenen Domaininhaber gehört
Erkennbar ist HTTPS am Schloss-Symbol in der Browser-Adressleiste. Seit Chrome 68 (2018) markiert Google alle HTTP-Seiten als «Nicht sicher».
HTTPS als Ranking-Faktor
Im August 2014 bestätigte Google offiziell, dass HTTPS als Ranking-Signal in den Algorithmus einfliesst. Heute ist HTTPS für praktisch alle Webseiten ein Muss – nicht nur aus SEO-Gründen:
- Browser warnen Nutzer aktiv vor HTTP-Seiten
- Viele moderne Web-APIs funktionieren nur über HTTPS
- Das Nutzervertrauen wird durch das Schloss-Symbol gestärkt
- Datenschutzgesetze (DSGVO) verlangen sichere Übertragung personenbezogener Daten
SSL-Zertifikate: Typen und Anbieter
- Domain Validation (DV) – Günstigste Option. Bestätigt nur die Domain-Kontrolle. Für SEO vollständig ausreichend.
- Organization Validation (OV) – Bestätigt zusätzlich die Existenz der Organisation.
- Extended Validation (EV) – Höchste Vertrauensstufe, strengste Prüfung.
- Wildcard-Zertifikat – Gilt für eine Domain und alle ihre Subdomains.
Let's Encrypt bietet kostenlose DV-Zertifikate an, die von allen Browsern anerkannt werden. Viele Hosting-Anbieter integrieren Let's Encrypt direkt.
Migration von HTTP zu HTTPS
- SSL-Zertifikat beschaffen und installieren
- HTTPS-Version testen – Vor dem Aktivieren von Weiterleitungen prüfen
- Mixed Content beheben – Alle internen Ressourcen auf HTTPS aktualisieren
- 301-Weiterleitungen einrichten – HTTP-Anfragen permanent auf HTTPS weiterleiten
- Canonical-Tags aktualisieren – Auf HTTPS-URLs aktualisieren
- XML-Sitemap aktualisieren – Alle URLs auf HTTPS ändern
- Google Search Console – Neue HTTPS-Property anlegen
.htaccess-Weiterleitung von HTTP auf HTTPS:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Mixed Content vermeiden und beheben
Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen über HTTP lädt:
- Passive Mixed Content – Bilder, Videos über HTTP. Browser zeigen eine Warnung.
- Aktive Mixed Content – Scripts, Stylesheets über HTTP. Werden von Browsern standardmässig blockiert.
Beheben: Alle Ressourcen-URLs von http:// auf https:// ändern oder relative URLs verwenden.
HTTPS in Google Search Console einrichten
Die Search Console behandelt HTTP und HTTPS als separate Properties. Nach der Migration:
- Neue Property für die HTTPS-Version anlegen
- Inhaberschaft verifizieren
- XML-Sitemap in der neuen Property einreichen
HSTS – HTTP Strict Transport Security
HSTS weist den Browser an, eine Domain ausschliesslich über HTTPS aufzurufen. Dies verhindert Downgrade-Attacken:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadWeitere Informationen finden Sie auf den Seiten 301-Weiterleitungen und .htaccess-Weiterleitungen.