Es ist höchste Zeit, Ihre Website auf https umzustellen: Erstens, weil Sie Ihren Besuchern und Kunden eine sichere Webseite und Datenübertragung schuldig sind. Und zweitens wegen Google. Warum das so ist und wie Sie das (relativ ganz einfach) Schritt-für-Schritt umsetzen können, beschreibt dieser Artikel.

Was ist https und wie funktioniert das technisch?

SSL: sichererer

„HTTPS“ oder „https“ ist die Abkürzung für Hyper Text Transfer Protocol Secure: Das ist das Protokoll, mit dem die Daten einer Website im Internet vom Server zum Browser übertragen werden. Im Gegensatz zu http überträgt https diese Daten verschlüsselt. Das erkennen Sie daran, dass vor dem Adressfenster des Browsers ein grünes Schloss angezeigt wird und die Adresse der verschlüsselten Seite (URL) mit „https://“ statt nur mit „https://“ beginnt. In manchen Browsern wird das https in der Adresszeile zusätzlich farblich hervorgehoben.

Damit die Seite verschlüsselt werden kann, muss auf dem Webserver zunächst ein SSL-Zertifikat installiert werden (SSL = Secure Sockets Layer), ein Netzwerkprotokoll zur sicheren Übertragung von Daten. Ein SSL-Zertifikat identifiziert die Domäne und den Server eindeutig. Wenn eine Seite von einem Webbrowser aufgerufen wird, schickt der Server sein Zertifikat, das dann vom Browser überprüft wird, indem er bei der Zertifizierungsstelle nachfragt. Ist das Zertifikat gültig, wird eine gesicherte Verbindung zwischen Server und Browser aufgebaut, die dafür sorgt, dass alle übertragenen Daten verschlüsselt sind. Sie stellt auch sicher, dass die Website wirklich die Website des Zertifikatsinhabers ist und der Zugriff nicht etwa von einem Hacker umgeleitet wurde.

Warum macht es Sinn, alle Webseiten zu verschlüsseln?

Jede nicht verschlüsselte Übertragung von Daten im Internet kann abgefangen und manipuliert werden. Online-Banking, eine Bestellung im Online-Shop und Webseiten mit sensiblen, nicht-öffentlichen Inhalten müssen verschlüsselt erfolgen, das leuchtet unmittelbar ein. Jeder Anwender, der ein Online-Bestellformular nutzt oder Online-Banking betreibt, sollte immer vorher die Adresszeile prüfen, ob sie eine verschlüsselte Übertragung anzeigt. Seriöse Anbieter fordern keine Daten über unverschlüsselte Kanäle an.

Vergleichen wir das Übertragen von Daten mit einem Informationsaustausch auf althergebrachte Weise, zum Beispiel auf dem Postweg. Je sensibler die Information, desto höher soll die Sicherheitsstufe der Übertragung sein. Ein Urlaubsgruß wird auf der offenen Postkarte versendet, die jeder lesen kann. Einen vertraulichen Brief stecke ich in einen verschlossenen Umschlag und adressiere ihn persönlich. Ein Arbeitsvertrag (oder eine Kündigung) erfordert einen Einschreibebrief usw.

Warum ist aber eine Verschlüsselung bei „normalen“ Seiten sinnvoll? Zunächst gewährleistet die Verschlüsselung, dass der Anwender nur die Daten erhält, die er angefordert hat. Zum Zweiten können unverschlüsselt übertragene Daten manipuliert werden, etwa indem über Cookies das Verhalten des Anwenders ausspioniert wird. Zum Dritten kann mit den Daten versteckte Schadsoftware übertragen werden. Und last but not least erschwert Verschlüsselung generell das Ausspionieren von Anwendern.

Wie beim Umgang mit unseren Daten im Allgemeinen müssen wir also auch im Umgang mit Webseiten lernen, etwas achtsamer mit den Daten unserer Kontakte und Kunden umzugehen. Das ist ein weiterer Lernschritt für all diejenigen, die behaupten, Sie hätten schließlich nichts zu verbergen. (Dieses Argument kann man übrigens ganz schnell entkräftigen, indem man denjenigen bittet, seine letzte Steuererklärung oder seine Gehaltsabrechnung auf den Tisch zu legen.)

Was hat Google damit zu tun?

Google macht es wie immer: Zuerst wird eine Empfehlung ausgesprochen, dann wird sanfter Druck ausgeübt und schließlich werden alle abgestraft, die nicht parieren.

Bereits seit August 2014 empfiehlt Google, Webinhalte nur noch mit https anzubieten. Es gibt Hinweise, dass Verschlüsselung als positives Kriterium für das Ranking gewertet wird, wenn auch zunächst nicht als ein starkes. Und es ist wahrscheinlich, dass Google zukünftig unverschlüsselte Webseiten abwerten wird, was den Verlust eines guten Rankings bedeutet.

Im September 2016 verkündete Google, dass bereits mehr als 50 % aller mit dem Google-eigenen Browser Chrome aufgerufenen Webseiten https-verschlüsselt seien und dass Chrome ab Januar 2017 vor nicht verschlüsselten Webseiten warnen werde. Nun können wir von Google halten, was wir wollen, aber schließlich ist Google der Marktführer in Deutschland und kann nicht ernsthaft vernachlässigt werden, wenn wir im Internet gefunden werden möchten. Also wird es höchste Zeit, die Websites umzustellen.

Umstellung auf https in drei einfachen Schritten

Wir stellen in drei Schritten um: 1. ein Zertifikat installieren, 2. SSL aktivieren und 3. nach übriggebliebenen Fehlern suchen.

Bei jeder WordPress-Installation sieht es ein bisschen anders aus, allein schon wegen der unterschiedlichen Themes, Plugins und sonstiger Werkzeug-Pakete. Ich versuche, den einfachsten Weg zu beschreiben, den alle gemeinsam bieten.

Wie komme ich an ein Zertifikat?

Wenn Sie mit Ihrer Website bei einem der gängigen Provider sind, sollten Sie zuerst dort nachsehen. Das Stichwort ist „Sicherheit“ oder „SSL-Verschlüsselung“. Große, seriöse Provider bieten in der Regel bereits eine ausgearbeitete Lösung an, die es dem Kunden leicht macht. Ich habe die Erfahrung mit meinem Provider ALL-INKL.COM gemacht und mit der geschätzten Übersetzerin Caterina Saccani gemeinsam auf Strato und vermute, dass es bei den anderen Providern ähnlich läuft.

Zunächst müssen Sie herausfinden, ob Ihr Provider eigene Zertifikate anbietet. Wenn ja, kann das bedeuten, dass Sie dieses Zertifikat zunächst bei einer Zertifizierungsstelle prüfen lassen müssen. Das ist ein weiterer Schritt, aber machbar. Oder Sie entscheiden sich für ein Zertifikat eines Dritt-Anbieters. Ich empfehle hier das kostenfreie Let’s Encrypt, das von der Let’s Encrypt Authority verifiziert wird.

Bei meinem Provider ALL-INKL.COM war es sogar so, dass mir Let’s Encrypt direkt in der Domain-Verwaltung unter „SSL-Schutz -> bearbeiten“ als Reiter angeboten wurde, wo ich es nur noch zu aktivieren brauchte(und nicht einmal von einer anderen Seite importieren musste). Daher: Schauen Sie zuerst im Kundenadministrations-System nach, ob dort nicht schon eine Lösung angelegt ist. Dann: „SSL“ aktivieren, „SSL erzwingen“ aktivieren und „HSTS“ aktivieren sowie den SSL-Link eintragen, fertig. Das habe ich bei jeder einzelnen Domain gemacht, die bei meinem Provider gehostet ist. Das sind ungefähr 10 und die ganze Aktion hat keine zwei Minuten gedauert.

Bei Strato, wo die Seite von Caterina Saccani gehostet ist, lief es ähnlich unkompliziert und war genauso einfach zu finden.

Was mache ich mit Mixed Content?

Ganz fertig sind Sie allerdings noch nicht. Einige Seiten haben Inhalte, etwa Bilder und Grafiken, die auf eine feste Adresse verweisen und deshalb nicht automatisch umgestellt sind. Sie sehen das daran, dass im Browser nicht überall das schöne grüne Schloss angezeigt wird, sondern manchmal noch so ein irgendwie durchgestrichenes oder halb gelbes Schloss, das bedeutet „mixed Content“, also gemischter Inhalt: halb sicher, aber nicht ganz. Das daneben angezeigte kleine i-Fensterchen verrät, dass auf dieser Seite unsichere Inhalte übertragen werden. Mist! Was jetzt?

Die eine Möglichkeit ist, in den Quellcode hineinzugehen, alle Stellen herauszusuchen und zu editieren, indem Sie aus http ein https machen, also lediglich ein s einfügen. Kann man machen. Ist aber mühsam! Bei einer „alten“ Website, die viele einzelne Seiten und Bilder enthält, suchen Sie sich einen Wolf, und Spaß macht das nicht.

Weil ich von Natur aus eher faul bin und eine systematische Lösung jeder Fleißarbeit vorziehe – und weil ich auch immer Angst habe, etwas kaputt zu machen, wenn ich direkt im ftp rumfummeln soll – habe ich gesucht und bin fündig geworden: Ein wunderbares kleines Plugin mit Namen „Better Search Replace“ war meine Rettung. Einmal installiert, kann es unter „Werkzeug“ gefunden und konfiguriert werden. Sie sagen dem fleißigen Helferlein, es soll nach „http:“ suchen – und zwar in allen Datenbanken – und diese Zeichenfolge durch „https:“ ersetzen. Beim ersten Durchlauf klicken Sie an, „Beim Testlauf wird die Datenbank nicht verändert.“ Der Testlauf zeigte bei mir einige tausend Ergebnisse. Aber hallo, die soll ich alle manuell korrigieren?

Nein danke. Ich nahm das Häkchen heraus und startete erneut „Suchen/Ersetzen“ – und siehe da, Better Search Replace suchte besser und ersetzte zuverlässiger als ich das so schnell vermocht hätte.

Damit habe ich erst mal fertig. Es kann sein, dass sich in den nächsten Tagen noch der eine oder andere Fehler oder eine falsche Darstellung ergibt, dann muss ich noch mal ran. Auf jeden Fall werde ich noch einmal mit https://www.whynopadlock.com überprüfen, wo sich noch unsichere Seiten verstecken und versuchen, die aufzustöbern und zu entschärfen. (Dank an Sonja Riesterer für diesen wertvollen Hinweis!) Aber das Gröbste ist erledigt und meine Seite auf SSL umgestellt.

Eh voila! Worauf warten Sie noch? Husch husch, ran ans Werk und dann wird hier bitte berichtet, wie es Ihnen damit ergangen ist 😉

Ich danke Wikipedia, Google Webmaster Tools und allen anderen, die im Internet so großzügig ihr Wissen preisgeben. Besonders hilfreich waren:

• HTTPS as a ranking signal
• HTTPS –Warum die Verschlüsselung von Websites Sinn macht
• Mixed Content-Warnungen auf Ihrer SSL-Website beheben
• WordPress auf 100% HTTPS-only umstellen, HTTP vollständig deaktivieren
• HTTPS: wieso, weshalb warum – und wie stelle ich meine WordPress-Site um.