Update 17.10.2016: Bereits >50% aller Websites HTTPS-verschlüsselt - Googles Chrome wird ab Jan. 2017 vor nicht verschlüsselten Websites warnen
Erste Fassung vom 1.3.2016
Was ist HTTPS?
HTTPS (Hyper Text Transfer Protocol Secure) bezeichnet das Protokoll für die Übertragung von Website-Daten im Internet vom Server zum Browser, das im Gegensatz zu HTTP diese Daten verschlüsselt überträgt. Man erkennt dies daran, dass im Adressfenster des Browsers ein Schloss angezeigt wird und die Adresse der verschlüsselten Site mit https beginnt. Oft wird in der Adresszeile das HTTPS dann auch farblich hervorgehoben.
Technisch funktioniert das so, dass auf dem Webserver ein sog. SSL-Zertifikat installiert wird (SSL = Secure Sockets Layer). SSL-Zertifikate sind bei verschiedenen Anbietern erhältlich und müssen vom Website-Betreiber erworben und installiert werden. Ein solches Zertifikat identifiziert die Domäne und den Server eindeutig. Bei Anforderung einer Seite durch einen Webbrowser schickt der Server sein Zertifikat, das dann vom Browser durch Nachfrage bei der Zertifizierungsstelle überprüft wird. Ist das Zertifikat gültig, kommt es zum Aufbau einer gesicherten Verbindung zwischen Server und Browser, und alle im weiteren Verlauf der Sitzung übertragenen Daten sind verschlüsselt. Auch wird sichergestellt, daß die Website wirklich die des Zertifikatsinhabers ist und der Zugriff z.B. nicht von einem Hacker umgeleitet wurde.
Warum HTTPS?
Generell kann jede nicht verschlüsselte Übertragung von Daten im Internet abgefangen und auch manipuliert werden. Deshalb leuchtet wohl unmittelbar ein, dass jede Übertragung sensibler Daten, etwa bei Bestellungen in Online-Shops, beim Online-Banking oder auch bei Logins auf Websites mit nicht-öffentlichen Inhalten nur verschlüsselt erfolgen sollte. Für den User bedeutet das: Im Zweifel, etwa bei der Benutzung von Online-Bestellformularen, sollte man immer in der Adresszeile prüfen, ob dort eine verschlüsselte Übertragung angezeigt wird. Seriöse und professionelle Anbieter werden vom Kunden keine Daten über unverschlüsselte Kanäle anfordern.
Aber auch bei der Übertragung von normalen Webinhalten erscheint eine Verschlüsselung als sinnvoll. Zunächst einmal stellt nur die Verschlüsselung sicher, dass der User auch die und nur die Daten bekommt, die er angefordert hat. Denn es lassen sich nicht nur unverschlüsselt übertragene Daten manipulieren (was zunehmend vorkommt, u.a. um über eingefügte Cookies das Userverhalten auszuspionieren), sondern es kann z.B. in öffentlichen WLANs Schadsoftware in die Daten eingefügt werden. Und nicht zuletzt erschwert die Verschlüsselung generell das Ausspionieren von Userverhalten.
Auch Google empfiehlt HTTPS
Google empfiehlt seit August 2014, Webinhalte nur noch mit HTTPS anzubieten. Und es gibt Äußerungen von Google, eine Verschlüsselung werde als positives Kriterium für das Ranking gewertet, wenn auch nicht als ein starkes. Dabei ist nicht unwahrscheinlich, dass Google in Zukunft nicht-HTTPS-Websites als unsicher abwerten wird, was für diese Websites durchaus den Verlust guter Rankings bedeuten könnte. -
Am 8.9.2016 schrieb Google, dass bereits mehr als 50% aller mit Chrome aufgerufenen Websites HTTPS-verschlüsselt seien, und dass Chrome ab Januar 2017 vor nicht verschlüsselten Websites warnen werde.
Umstellen auf HTTPS
SSL-Zertifikate sind mittlerweile sehr günstig erhältlich. Dabei sollte man aber unbedingt auf eine hinreichend starke Verschlüsselung achten, und natürlich darauf, ob der Zertifikatsanbieter generell seriös ist. Auch muss auf die Gültigkeit des Zertifikats geachtet werden, denn abgelaufene Zertifikate führen zu entsprechenden Meldungen des Browsers, was das Uservertrauen nicht fördert.
Die Umstellung erfordert, dass alle Seiten, eingebundene Bilder und Videos über HTTPS geladen werden. Bei umfangreichen Websites kann das schon einige Arbeit erfordern. Wenn außerdem Content von anderen Sites einbebunden ist, wird dieser möglicherweise nicht über HTTPS zur Verfügung stehen. Zwar sollten moderne Browser in der Lage sein, auch gemischte Seiten (HTTP und HTTPS) vernünftig darzustellen, aber ausgerechnet Safari, der Webbrowser der iPhones, kommt damit offenbar nicht gut klar (Quelle: WIRED).
Bei der Umstellung einer bestehenden Website auf HTTPS müssen, insbesondere, wenn die alte Website in Google & Co. gut rankte, weitere wichtige Aspekte beachtet werden. So müssen nicht nur alle internen Links angepasst werden, sondern es müssen auch Redirects aller alten Adressen auf die neuen HTTPS-Varianten erfolgen. Wenn die HTTPS-Site online geht, ist ein zeitnahes Monitoring über die Google Search Console (früher Webmastertools) sinnvoll. Beachten: Die HTTPS-Site ist für die Search Console eine neue Website, muss also angemeldet werden!
Externe Links auf die Website sollten, wenn sich das veranlassen lässt, auch auf die HTTPS-Adressen umgestellt werden.
Für welche Websites besteht Handlungsbedarf?
Da einerseits die Umstellung auf HTTPS insbesondere bei umfangreichen Websites doch etwas Aufwand bedeutet und andererseits zumindest bisher Auswirkungen auf Suchmaschinen-Rankings kaum festzustellen sind, könnten sich Websitebetreiber zur Zeit noch darauf beschränken, lediglich sensible Bereiche der Website zu schützen: Das sind auf jeden Fall Bestellvorgänge, Logins, Formulare und ähnliches. Bei Online-Shops ist eine generelle Umstellung auf HTTPS aber jetzt schon bzw. in der näheren Zukunft sinnvoll.
Nicht nur die Bewertung durch Google & Co. und Googles Warnhinweis in Chrome bei nicht verschlüsselten Websites spielen eine wichtige Rolle, sondern es wird sich auch die Wahrnehmung der User verändern. D.h. ab Anfang 2017 werden die meisten Websitebetreiber nicht um HTTPS herumkommen. Spätestens wenn sowieso ein Relaunch geplant ist, ist dies eine gute Gelegenheit für den Schritt hin zu HTTPS.