Website mit HTTPS sichern

Was ist HTTPS?

HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Nutzer erwarten eine sichere Umgebung, wenn sie eine Website verwenden. Unabhängig vom Inhalt deiner Website empfehlen wir dir die Verwendung von HTTPS, um die Kommunikation deiner Nutzer mit deiner Website zu schützen.

Über HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:

  1. Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht abgefangen werden können. Wenn also ein Nutzer auf Ihrer Website surft, kann niemand den Datenaustausch "abhören", seine Aktivitäten über verschiedene Seiten hinweg verfolgen oder seine Daten stehlen.
  2. Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich.
  3. Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Man-in-the-Middle-Angriffen und stärkt das Vertrauen der Nutzer, was deinem Unternehmen weitere Vorteile verschafft.

Best Practices für die Implementierung von HTTPS

Starke Sicherheitszertifikate verwenden

Wenn Sie HTTPS für Ihre Website einrichten, benötigen Sie ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle ausgestellt, die überprüft, ob Ihre Webadresse tatsächlich zu Ihrer Organisation gehört, und dadurch Ihre Kunden vor Man-in-the-Middle-Angriffen schützt. Wählen Sie bei der Einrichtung Ihres Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn Sie bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügen, aktualisieren Sie ihn auf 2.048 Bit. Beachten Sie bei der Auswahl eines Websitezertifikats Folgendes:

  • Fordere das Zertifikat von einer zuverlässigen Zertifizierungsstelle an, die technischen Support anbietet.
  • Überlege, welchen Zertifikattyp du benötigst:
    • Ein Zertifikat für eine einzige sichere Quelle (z. B. www.example.com).
    • Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. www.example.com, cdn.example.com, example.co.uk).
    • Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. a.example.com, b.example.com).

Serverseitige 301-Weiterleitungen verwenden

Leiten Sie Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwenden Sie dazu serverseitige 301-HTTP-Weiterleitungen.

Dafür sorgen, dass Google Ihre HTTPS-Seiten crawlen und indexieren kann

  • Blockiere deine HTTPS-Seiten nicht durch robots.txt-Dateien.
  • Füge keine noindex-Tags in deine HTTPS-Seiten ein.
  • Teste mit dem URL-Prüftool, ob Googlebot auf deine Seiten zugreifen kann.

Unterstützung von HSTS

HTTPS-Websites sollten HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Nutzer in die Adressleiste des Browsers http eingibt. Gleichzeitig wird Google aufgefordert, sichere URLs in den Suchergebnissen anzuzeigen. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.

Verwende zur Unterstützung von HSTS einen geeigneten Webserver und aktiviere die Funktion.

HSTS erhöht die Sicherheit, aber auch die Komplexität deiner Rollbackstrategie. Sie sollten HSTS folgendermaßen aktivieren:

  1. Stelle deine HTTPS-Seiten zuerst ohne HSTS online.
  2. Sende HSTS-Header mit einem niedrigen max-age. Beobachte die Zugriffe von Nutzern und anderen Kunden sowie die Leistung von anderen abhängigen Elementen wie Werbung.
  3. Erhöhe langsam das HSTS-max-age.
  4. Wenn HSTS sich nicht negativ auf die Nutzer und Suchmaschinen auswirkt, kannst du deine Website auch der HSTS-Vorabladeliste hinzufügen lassen, die von den meisten führenden Browsern verwendet wird.

Eine HSTS-Vorabladung nutzen

Wenn Sie HSTS aktivieren, können Sie optional die HSTS-Vorabladung nutzen, um die Sicherheit und Leistung zu erhöhen. Zum Aktivieren der Vorabladung rufe die Seite hstspreload.org auf und folge den erforderlichen Schritten für das Einreichen deiner Website.

Häufig auftretende Probleme vermeiden

Vermeiden Sie folgende häufig auftretenden Fehler beim Absichern Ihre Website mit TLS:

Problem Aktion
Abgelaufene Zertifikate Achten Sie darauf, dass Ihr Zertifikat jederzeit aktuell ist.
Zertifikat wurde für den falschen Websitenamen ausgestellt. Überprüfen Sie, ob Sie für alle Hostnamen ein Zertifikat erhalten haben, die von Ihrer Website bereitgestellt werden. Wenn Ihr Zertifikat beispielsweise nur www.example.com abdeckt, werden Besucher Ihrer Website blockiert, die nur example.com ohne das Präfix "www." eingeben, da der eingegebene Name nicht mit dem Zertifikat übereinstimmt.
Unterstützung für Server Name Indication (SNI) fehlt. Kontrollieren Sie, ob Ihr Webserver SNI unterstützt und Ihre Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn Sie Unterstützung für ältere Browser anbieten möchten, benötigen Sie eine dezidierte IP-Adresse.
Crawling-Fehler Blockiere das Crawling deiner HTTPS-Website nicht durch robots.txt.
Indexierungsfehler Lass nach Möglichkeit die Indexierung deiner Seiten durch Suchmaschinen zu. Verwende nicht das noindex-Tag.
Alte Protokollversionen Alte Protokollversionen enthalten Sicherheitslücken. Achten Sie darauf, die neuesten Versionen der TLS-Bibliothek zu verwenden und die neuesten Protokollversionen zu implementieren.
Verschiedenartige Sicherheitselemente Bette nur HTTPS-Inhalte auf HTTPS-Seiten ein.
Verschiedenartige Inhalte unter HTTP und HTTPS Kontrollieren Sie, ob die Inhalte auf Ihrer HTTP- und Ihrer HTTPS-Website identisch sind.
Fehler bei HTTP-Statuscodes unter HTTPS Prüfe, ob deine Website den richtigen HTTP-Statuscode zurückgibt. Beispiel: 200 OK für erreichbare Seiten oder 404 oder 410 für nicht vorhandene Seiten.

Weitere Tipps

Weitere Tipps zur Verwendung von HTTPS-Seiten auf Ihrer Website finden Sie in den FAQs zur HTTPS-Migration.

Migration von HTTP zu HTTPS

Wenn du deine Website von HTTP nach HTTPS migrierst, behandelt Google das als Websiteverschiebung mit URL-Änderungen. Das kann sich vorübergehend auf deine Traffic-Zahlen auswirken. Weitere Informationen findest du auf der Übersichtsseite zum Verschieben einer Website.

Füge der Search Console die neue HTTPS-Property hinzu. Die Search Console verarbeitet HTTP und HTTPS getrennt. Daten werden zwischen diesen Properties in der Search Console nicht geteilt.

Informationen zum Beheben von Migrationsproblemen findest du auf der Seite zur Fehlerbehebung beim Verschieben von Sitemaps.

Weitere Informationen

Weitere Informationen zur Implementierung von TLS auf Ihrer Website: