Start > Entrepreneur - Geld verdienen, Selbstständige, Unternehmer, Blogger > WordPress und https: Ist der Umstieg sinnvoll?

WordPress und https: Ist der Umstieg sinnvoll?

Wie heißt es doch so schön: Vorsicht ist die Mutter der Porzellankiste und diese Weisheit lässt sich auch auf das Internet übertragen. Denn seit geraumer Zeit wird eine Umstellung aller WordPress Webseiten auf die SSL-Verschlüsselung geraten und das möglichst über TLS 1.2 – also das verschlüsselte Protokoll https. Die Daten werden durch dieses Verfahren verschlüsselt und sicher übertragen – durch die Datenintegrität und Authentifizierung. Dazu kommt noch ein Fakt, der nicht zu unterschätzen ist: Auch von den Suchmaschinen wird diese Verschlüsslung beim Ranking bevorzugt.

Die Google Meldungen: https als Ranking Signal

Viele Webseiten-Betreiber, die ihren Internetauftritt über WordPress laufen lassen, haben bereits auf https umgestellt. Damit wird die gesamte WordPress-Umgebung sicherer und effektiver vor Angriffen geschützt. Die Motivation wurde zudem durch die Google-Meldungen „https as a Ranking Signal “ verstärkt.

Um die Umstellung vorzunehmen, wird ein digitales SSL Zertifikat benötigt. Wurde dieses Zertifikat auf dem Server eingebunden und hinterlegt, dann kann die Webseite auf https – Hypertext Transfer Protocol Secure – umgestellt werden.

Tipp: Let’s Encrypt  ist ein freies und offenes Zertifikat, das sich derzeit noch in der Beta-Phase befindet, aber dennoch bereits eine Millione Zertifikate für über 2,4 Millionen Domains ausgestellt hat. Let’s Encrypt wird auch auf wirtschaft.com eingesetzt.

Ist https für jede Webseite sinnvoll?

Generell ist die Verschlüsselung von Webseiten sinnvoll, denn so kann (weitestgehend) die Möglichkeit ausgeschlossen werden, dass bei der Datenübertragung von einem Server zum anderen, unbefugte Dritte Zugriff erhalten und dann die Daten verändern. Aber ist das sinnvoll für jede Webseite, ganz egal ob grosser Onlineshop oder kleine Nischenseite?

Werden lediglich von dem Benutzer Informationen konsumiert, ist dann eine https-Verschlüsselung notwendig? In der Theorie ist es ganz klar: Auf jeden Fall. Doch in der Praxis lauern  einige rechtliche und technische Hindernisse.

Ist von https die Rede, dann ist damit die Zertifizierung des Inhabers einer Domain und die verschlüsselte Übertragung der Daten zwischen Server und Browser gemeint. Das bedeutet für den Besucher einer Webseite primär, dass er weiss, mit wem er es zu tun hat. Denn nach einem Klick auf das Schlosssymbol erscheinen weitere Informationen über den Seiteninhaber. Zudem kann der Besucher davon ausgehen, dass alles, was er auf der Webseite zu sehen bekommt, so beabsichtigt ist und von dem Webseiten-Betreiber stammt – wobei hier eine saubere Implementierung vorausgesetzt wird. Die modernen Browser warnen beispielsweise bereits vor gemischten (verschlüsselt/unverschlüsselt), also potenziell unsichern Inhalten.

Google will das Internet sicherer machen

Nun propagiert Google seit längerer Zeit https überall. Die Argumente von Google  hören sich plausibel und gut an und sind auch nachvollziehbar. Und das Google vorhat das Internet sicherer zu machen, dass ist ein durchaus sinnvolles Vorhaben. Die Shops stehen hier außer Diskussion, ebenso wie geschützte Mitgliederbereiche, Formulare und andere Szenarien, in denen Bezahlinformationen und persönliche Daten übertragen werden. Eine https Verschlüsselung sollte hier als selbstverständlich angesehen werden und muss daher nicht weiter besprochen werden.

Doch selbst auf kleinen Webseiten, wo maximal Informationen oder Produktbeschreibungen enthalten sind, soll in Zukunft nicht mehr auf eine Verschlüsselung verzichtet werden. Hier stellt sich die Frage, ob das nicht etwas weit hergeholt ist. John Mueller erklärt in einem Post auf Google+ , warum Google die Verschlüsselung gern auf jeder Webseite sehen möchte.

Von ihm werden dort unter anderen Szenarien erwähnt, in denen in ein ungesichertes WLAN-Netzwerk unerwartete Werbung in die Webseiten eingeschleust wird – das kommt beispielsweise in Hotel-Netzwerken vor. Aus der Betreibersicht einer Finanz- und Gesundheitswebseite erwähnt er die Authentizität und die Reputation, die durch die Verschlüsselung an die Besucher weitergegeben wird.

Noch(!) ist eine komplette Verschlüsselung aller Webseiten nicht sinnvoll

Die Benutzer mit leistungsschwachen Endgeräten- lassen wir die Hoster außen vor – werden sich in den nächsten ein bis zwei Jahren an der schlechteren Performance der verschlüsselten Seiten stören. Ganz egal was die Google Entwickler sagen, noch ist das ein dicker Minuspunkt. Jeder sollte das einmal ausprobieren! Ganz einfach die eigene Seite testweise auf eine Subdomain in dem Webhostingpaket oder auf dem Server spiegeln und dann https aktivieren. Es gibt bei fast jedem Webhoster die Möglichkeit ein kostenloses Zertifikat oder einen SSI Proxy zu nutzen – der Unterschied wird sofort bemerkbar sein.

Zudem gibt es noch ein Problem: https und die Virenscanner. Denn die Vollverschlüsselung der Webseiten stellt ein grosses Sicherheitsrisiko für die Besucher dar. Warum? Weil eine verschlüsselte Seite von den meisten der gängigen Virenscanner nicht überprüft werden kann. So dass sich ein Besucher mit einem Virus infizieren könnte, wenn eine Seite beispielsweise gehackt wurde – und das ohne das der Virenscanner anschlägt.

Das heißt: Wird eine Übertragung verschlüsselt, dann ist der Virenscanner nicht in der Lage den Inhalt zu überprüfen. Dafuer sind weitergehende Anpassungen des Scanners notwendig – aber darauf ist die AV Industrie noch nicht vorbereitet.

Selbst THAWTE rät ab

Das Unternehmen THAWTE verdient sein Geld mit Zertifikaten und hier wird vermutlich schon geahnt, dass eine Welle an Supportanfragen und technische Probleme auf die Firma zurollen wird. Besonders im Bereich Shared Hosting sieht es noch düster aus. So hatte Google selbst Probleme mit SNI (Server Name Indiction) und zudem unterstützen Anbieter von Billig-Zertifikaten kein SNI.

Wer wird keine Probleme mit https haben?

Das kann nicht zu 100 % genau gesagt werden. Bei der Umstellung auf https werden die Webmaster keine Probleme haben, die

  • einen eigenen Server betreiben, dem kein „Reverse-Proxy“ vorgeschaltet ist und
  • für den eigenen Server eine eigen IP Adresse versenden und
  • auf dem Server eine eigene Domain angelegt haben und
  • auf dem Server für die Domain ein Zertifikat (am besten Thawte) installiert haben und
  • soviel Kontrolle über die Inhalte der Webseite besitzen, dass sichergestellt werden kann, dass alle Ressourcen, ganz egal ob vom eigenen Server ausgeliefert oder extern nachgeladen, ebenfalls verschlüsselt sind.

Somit sollten alle Besucherbrowser, ganz egal mit einer aktuellen Version oder nicht, in der Lage sein, die Webseite sauber anzuzeigen und das ohne irgendwelche Zertifikats- oder Mixed-Content-Warnungen.

Voraussetzungen für den Umstieg

Um einer Seite ein HTTPS geben zu können, braucht man ein Zertifikat. Wobei hier für Google unerheblich ist, woher es stammt. Es darf nicht abgelaufen sein und muss von den gängigen Browsern akzeptiert werden. Wenn man „TLS Verschlüsselung“ sucht, findet man einige kostenpflichtige Angebote. Der Anbieter Let’s Encrypt bietet seit Dezember 2015 aber auch kostenlose Zertifikate in der Beta-Phase an. Außerdem benötigt man eine eigene IP-Adresse (es sei denn, man nutzt ein Let’s Encrypt-Zertifikat). Diese erhält vom auf Anfrage von seinem Provider. Das Zertifikat muss man dann nur noch auf dem Server installieren. Damit sind alle Voraussetzungen erfüllt.

Ob eine Seite HTTPS nutzt erkennt man an der Adresszeile: Je nach Browser wird unterschiedlich symbolisiert, dass die Seite „sicher“ ist: Bei Chrome ist es ein grünes Schloss mit darauf folgender URL, die mit einem grünen https:// beginnt. Bei Firefox ist das Schloss ebenso grün. Die Browser weisen auch darauf hin, wenn ein Sicherheitszertifikat abgelaufen oder nicht vorhanden ist.

So funktioniert der Umstieg

1. Redirects erstellen

Zuerst werden Redirects hinzugefügt, denn die Webseite soll ja nur noch über HTTPS aufrufbar sein. Also müssen alle bisherigen Links, die an http gingen, auf HTTPS umgeleitet werden. Dies erreicht man über einen 301-Redirect in der .htaccess-Datei des Servers, sofern man einen Apache Server verwendet. Ohne Apache Server müssen alle Änderungen in der Hostkonfiguration durchgeführt werden.

Mit Hilfe der Redirects wird erreicht, dass zum einen interne absolute Links, z. B.

http://www.beispiel.de/spezielle-seite/

und relative Links, z. B.

/spezielle-seite/seite-3/

wie auch Backlinks von außen, die auf http zielen, auf die neue Seite weitergeleitet.

2. Markup anpassen

Jede Seite erhält ein „Canoncial-Tag“

<link rel=”canonical” href’=”https://beispiel.de/spezielle-seite/…”>

um zu zeigen, welche Seite die zu indexierende Seite ist. Die neuen HTTPS-Seiten erhalten auch ein Canoncial-Tag auf sich selbst.

3. Aufräumen

Nachdem sich alle URLs geändert haben, muss man noch eine neue XML-Sitemap erstellen. CMS wie Drupal bieten hierführ einfache Vorgehensweisen. Interne Links und externe Links sollte man mit der Zeit manuell anpassen.

4. Search Console einrichten

In der Search Console, ehemals Google Webmaster Tools, gibt man nun an, dass man sowohl die HTTP wie auch die HTTPS-Seite besitzt und legt für beide Versionen eine eigene Property an. Goolge wird die neue Seite crawlen und dann die permanent weitergeleiteten Seiten aus seinem Index nehmen. Im Bereich „Google Index“ – „Indexierungsstatus“ kann man für beide Properties beobachten, wie die Anzahl der indexierenden Seiten in der HTTP-Version sinkt und in der HTTPS-Version steigt. So kann man zudem feststellen, ob es bei der Migration Fehler gibt.

Es ist nicht vorhersagbar, wie schnell der Googlebot die neuen URLs crawlt und verarbeitet. Das ist mitunter abhängig von der Geschwindigkeit des Servers und der Anzahl der URLs. Erfahrungsgemäß kommt eine mittelgroße Webseite auf einige Wochen, bis die meisten Seiten verschoben sind; bei größeren Webseiten kann es länger dauern.

Es kann vorkommen, dass es zu Sichtbarkeitsverlusten kommt, wenn man mit der Webseite auf HTTPS umsteigt. Diese sind aber in der Regel von kurzer Dauer und mit den oben genannten Vorbereitungen auch größtenteils zu vermeiden. Vor allem durch die Verwendung von 301-Redirects sorgt man dafür, dass der Linkjuice direkt an das richtige Ziel weitergeleitet wird. Damit umgeht man auch direkt das Problem des Duplicate Contents, da nur eine Version der Inhalte indexierbar ist.

Anwendungstipps für HTTPS

  • Nur starke Sicherheitszertifikate mit einem 2.048-Bit-Schlüssel verwenden
  • Nutzer und Suchmaschinen über serverseitige 301-Redirects auf die HTTPS-Seite weiterleiten
  • Für alle internen Links relative URLs verwenden
  • Einen Server verwenden, der HTTP Strict Transport Security (HSTS) unterstützt und aktiviert hat. HSTS sorgt dafür, dass der Browser direkt die HTTPS-Seite aufruft, auch wenn der Nutzer nur http eingegeben hat. Außerdem gewährleistet diese Option, dass Google die neuen „sicheren“ URLs in den Suchergebnissen anzeigt.

Ob man tatsächlich auf HTTPS umsteigt bleibt prinzipiell jedem selbst überlassen. Allerdings sollte man die Vorteile auf keinen Fall außer Acht lassen. Das Ranking bei Google mag noch keine große Rolle spielen, aber neue Sicherheitseinstellungen im Browser könnten schon bald dazu führen, dass kein Weg mehr an HTTPS vorbeiführt. Und dank „Let’s Encrypt“ gibt es eine kostenlose und – je nach Provider – einfache Möglichkeit, eine Webseite auch im Sinne das Datenschutzes sicherer zu machen.

Hier nachlesen ...

Wanka ruft “Neue Gründerzeit” für Start-ups aus

Bundesforschungsministerin Johanna Wanka (CDU) will mit einem Fünf-Punkte-Plan eine “Neue Gründerzeit” für Start-ups einläuten. Das …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.