Website mit HTTPS sichern

Schützen Sie Ihre Website und Ihre Nutzer

Was ist HTTPS?

HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Nutzer erwarten eine sichere Umgebung, wenn sie eine Website verwenden. Unabhängig vom Inhalt Ihrer Website empfehlen wir Ihnen die Verwendung von HTTPS, um die Kommunikation Ihrer Nutzer mit Ihrer Website zu schützen.

Mithilfe von HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:

  1. Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht abgefangen werden können. Wenn also ein Nutzer auf Ihrer Website surft, kann niemand den Datenaustausch "abhören", seine Aktivitäten über verschiedene Seiten hinweg verfolgen oder seine Daten stehlen.
  2. Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich.
  3. Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Man-in-the-Middle-Angriffen und stärkt das Vertrauen der Nutzer, was Ihrem Unternehmen weitere Vorteile verschafft.

Best Practices für die Implementierung von HTTPS

Starke Sicherheitszertifikate verwenden

Wenn Sie HTTPS für Ihre Website einrichten, benötigen Sie ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle ausgestellt, die überprüft, ob Ihre Webadresse tatsächlich zu Ihrer Organisation gehört, und dadurch Ihre Kunden vor Man-in-the-Middle-Angriffen schützt. Wählen Sie bei der Einrichtung Ihres Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn Sie bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügen, aktualisieren Sie ihn auf 2.048 Bit. Beachten Sie bei der Auswahl eines Websitezertifikats Folgendes:

  • Fordern Sie das Zertifikat von einer zuverlässigen Zertifizierungsstelle an, die technischen Support anbietet.
  • Überlegen Sie, welchen Zertifikattyp Sie benötigen:
    • Ein Zertifikat für eine einzige sichere Quelle (z. B. ihrebeispielurl.de)
    • Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. ihrebeispielurl.de, cdn.ihrebeispielurl.de, ihrebeispielurl.co.uk)
    • Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. a.ihrebeispielurl.de, b.ihrebeispielurl.de)

Serverseitige 301-Weiterleitungen verwenden

Leiten Sie Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwenden Sie dazu serverseitige 301-HTTP-Weiterleitungen.

Sicherstellen, dass Google Ihre HTTPS-Seiten crawlen und indexieren kann

  • Blockieren Sie Ihre HTTPS-Seiten nicht durch robots.txt-Dateien.
  • Fügen Sie keine noindex-Meta-Tags in Ihre HTTPS-Seiten ein.
  • Verwenden Sie Abruf wie durch Google, um zu überprüfen, ob der Googlebot tatsächlich Zugriff auf Ihre Seiten hat.

Unterstützung von HSTS

HTTPS-Websites sollten HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Nutzer in die Adressleiste des Browsers http eingibt. Gleichzeitig wird Google aufgefordert, in den Suchergebnissen sichere URLs einzublenden. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.

Um HSTS zu unterstützen, verwenden Sie einen Webserver, der das auch tut, und aktivieren Sie die Funktion.

HSTS erhöht die Sicherheit, aber auch die Komplexität Ihrer Rollbackstrategie. Sie sollten HSTS folgendermaßen aktivieren:

  1. Stellen Sie Ihre HTTPS-Seiten zuerst ohne HSTS online.
  2. Senden Sie HSTS-Header mit einem niedrigen Höchstalter. Beobachten Sie die Zugriffe von Nutzern und anderen Kunden sowie die Leistung von anderen abhängigen Elementen wie Werbung.
  3. Erhöhen Sie langsam das HSTS-Höchstalter.
  4. Wenn HSTS sich nicht negativ auf die Nutzer und Suchmaschinen auswirkt, können Sie Ihre Website auch der HSTS-Vorabladeliste hinzufügen lassen, die von den meisten führenden Browsern verwendet wird.

Eine HSTS-Vorabladung nutzen

Wenn Sie HSTS aktivieren, können Sie optional die HSTS-Vorabladung nutzen, um die Sicherheit und Leistung zu erhöhen. Zum Aktivieren der Vorabladung rufen Sie die Seite hstspreload.org auf und folgen Sie den erforderlichen Schritten für das Einreichen Ihrer Website.

Häufig auftretende Probleme vermeiden

Vermeiden Sie folgende häufig auftretenden Fehler beim Absichern Ihre Website mit TLS:

Problem Aktion
Abgelaufene Zertifikate Achten Sie darauf, dass Ihr Zertifikat jederzeit aktuell ist.
Zertifikat wurde für den falschen Websitenamen ausgestellt. Überprüfen Sie, ob Sie für alle Hostnamen ein Zertifikat erhalten haben, die von Ihrer Website bereitgestellt werden. Wenn Ihr Zertifikat beispielsweise nur www.example.com abdeckt, werden Besucher Ihrer Website blockiert, die nur example.com ohne das Präfix "www." eingeben, da der eingegebene Name nicht mit dem Zertifikat übereinstimmt.
Unterstützung für Server Name Indication (SNI) fehlt. Vergewissern Sie sich, dass Ihr Webserver SNI unterstützt und dass Ihre Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn Sie Unterstützung für ältere Browser anbieten möchten, benötigen Sie eine dedizierte IP-Adresse.
Crawling-Fehler Blockieren Sie das Crawling Ihrer HTTPS-Website nicht durch eine robots.txt-Datei.
Indexierungsfehler Lassen Sie nach Möglichkeit die Indexierung Ihrer Seiten durch Suchmaschinen zu. Verwenden Sie nicht das Meta-Tag Noindex.
Alte Protokollversionen Alte Protokollversionen enthalten Sicherheitslücken. Achten Sie darauf, die neuesten Versionen der TLS-Bibliothek zu verwenden und die neuesten Protokollversionen zu implementieren.
Verschiedenartige Sicherheitselemente Betten Sie nur HTTPS-Inhalte auf HTTPS-Seiten ein.
Verschiedenartige Inhalte unter HTTP und HTTPS Vergewissern Sie sich, dass die Inhalte auf Ihrer HTTP- und Ihrer HTTPS-Website identisch sind.
Fehler bei HTTP-Statuscodes unter HTTPS Stellen Sie sicher, dass Ihre Website den richtigen HTTP-Statuscode zurückgibt. Der Code ist beispielsweise 200 OK für erreichbare Seiten oder 404 bzw. 410 für nicht vorhandene Seiten.

Weitere Tipps

Weitere Tipps zur Verwendung von HTTPS-Seiten auf Ihrer Website finden Sie in den FAQs zur HTTPS-Migration.

Migration von HTTP zu HTTPS

Wenn Sie Ihre Website von HTTP nach HTTPS migrieren, behandelt Google dies als Websiteverschiebung mit URL-Änderung. Dies kann sich vorübergehend auf Ihre Traffic-Zahlen auswirken. Weitere Informationen finden Sie auf der Übersichtsseite zum Verschieben einer Website.

Fügen Sie der Search Console die HTTPS-Property hinzu. Die Search Console verarbeitet HTTP und HTTPS getrennt, Daten für diese Properties sind in der Search Console nicht sichtbar. Falls Sie also Seiten mit beiden Protokollen haben, benötigen Sie für jede Seite eine eigene Search Console-Property.

Weitere Informationen

Weitere Informationen zur Implementierung von TLS auf Ihrer Website:

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?