HTTPS vs HTTP: Google indexiert neu bevorzugt sichere URLs

Das Web wird sicherer und Google hilft tatkräftig mit. Kürzlich hat der Suchmaschinenanbieter aus Mountain View angekündigt, neu standardmässig die HTTPS-Version einer Website zu indexieren. Und das selbst dann, wenn eingehende Links auf die unverschlüsselte HTTP-Version verweisen und auf dem Server kein automatisches Umschreiben auf die HTTPS-Version stattfindet. Bereits vor einigen Monaten hatte Google bekannt gegeben, dass verschlüsselte Verbindungen zu einer Website als positives Rankingsignal gewertet werden.

HTTPS schlägt HTTP im Google-Index.

So bevorzugt Google HTTPS

Damit Google die HTTPS-Version einer Website bevorzugt, muss diese einige Bedingungen erfüllen:

• Die Website enthält keine unsicheren Abhängigkeiten, sprich keinen sogenannten Mixed Content.
• Der Zugriff durch den Google-Crawler wird nicht durch eine robots.txt-Datei oder den Meta-Tag «noindex robots» geblockt.
• Die Seite leitet den Besucher nicht auf eine bzw. über eine unsichere HTTP-Seite um.
• Der canonical-Tag zeigt nicht auf die HTTP-Version der Seite.
• Keiner der internen Links zeigt explizit auf die unverschlüsselte URL.
• Die Sitemap enthält keine HTTP-Version der URL.
• Die Website besitzt ein gültiges SSL-Zertifikat.

Mixed Content grösste Knacknuss

Der oben erwähnte Mixed Content ist die häufigste Ursache dafür, warum eine per HTTPS aufgerufene Website nicht mehr wie gewünscht funktioniert. Browser reagieren sehr strikt, wenn sich auf einer per HTTPS aufgerufenen Website Elemente befinden, die per HTTP eingebunden sind. In unserem Supportcenter erklären wir Ihnen deshalb was Mixed Content genau bedeutet und was Sie gegen unsichere Inhalte auf Ihrer Website tun können.

Immer verschlüsselt dank HSTS

Ist Ihre Website frei von Mixed Content, können Sie Ihre Besucher zusätzlich absichern. Mit der Funktion HTTP Strict Transport Security (HSTS) kann dem Browser mitgeteilt werden, dass dieser nur noch verschlüsselte Verbindungen zur gesicherten Domain akzeptieren soll. Das schützt vor sogenannten Downgrade-Attacken, bei denen sich Angreifer in die Kommunikation zwischen Browser und Server einklinken können, weil die Website versehentlich über ungesichertes HTTP aufgerufen wird. Damit HSTS wirkt, muss der Besucher bereits einmal die gewünschte Website per HTTPS besucht haben.

Doch auch dieses Trust-on-first-use-Problem lässt sich lösen. Das Entwicklerteam hinter Google Chrome betreut dazu eine sogenannte Preload-Liste mit Domains, die fest in Browsern wie Chrome, Firefox, Internet Explorer oder Safari verbaut ist. Unterstützt Ihre Website HSTS, können Sie Ihre Domain kostenlos in die Liste eintragen lassen. Ist Ihre Domain dann einmal Teil der Preload-Liste, kommunizieren Browser, die die Liste eingebaut haben, automatisch per HTTPS mit Ihrer Website. Selbst dann, wenn Besucher Ihre Website zum ersten Mal öffnen.

In unserem Hilfeartikel Wie aktiviere ich HTTP Strict Transport Security (HSTS) für meine Website? erklären wir, wie Sie HSTS aktivieren und welche Schritte für einen Eintrag in der Preload-Liste nötig sind.

Fazit: Auf HTTPS umstellen lohnt sich

Die Umstellung auf verschlüsselte Verbindungen hat Website-Besitzern früher den Schweiss auf die Stirn getrieben. SSL-Zertifikate einzurichten war kompliziert und das Erzwingen von HTTPS führte unter Umständen dazu, dass die Website im Google-Index Plätze verlor. Dank kostenlosen SSL-Zertifikaten von Let’s Encrypt, die per Mausklick aktiviert sind und der neusten Ankündigung von Google, dürften diese Ängste nun definitiv der Vergangenheit angehören.