Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü

Website mit HTTPS sichern

Schützen Sie Ihre Website und Ihre Nutzer

Was ist HTTPS?

HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Nutzer erwarten eine sichere Umgebung, wenn sie eine Website verwenden. Unabhängig vom Inhalt Ihrer Website empfehlen wir Ihnen HTTPS, um die Kommunikation Ihrer Nutzer mit Ihrer Website zu schützen.

Mithilfe von HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:

  1. Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht abgefangen werden können. Wenn also ein Nutzer auf Ihrer Website surft, kann niemand den Datenaustausch "abhören", seine Aktivitäten über verschiedene Seiten hinweg verfolgen oder seine Daten stehlen.
  2. Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich.
  3. Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Man-in-the-Middle-Angriffen und stärkt das Vertrauen der Nutzer, was Ihrem Unternehmen weitere Vorteile verschafft.

Best Practices für die Implementierung von HTTPS

Starke Sicherheitszertifikate verwenden

Wenn Sie HTTPS für Ihre Website einrichten, benötigen Sie ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle ausgestellt, die überprüft, ob Ihre Webadresse tatsächlich zu Ihrer Organisation gehört, und dadurch Ihre Kunden vor Man-in-the-Middle-Angriffen schützt. Wählen Sie bei der Einrichtung Ihres Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn Sie bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügen, aktualisieren Sie ihn auf 2.048 Bit. Beachten Sie bei der Auswahl eines Websitezertifikats Folgendes:

  • Fordern Sie das Zertifikat von einer zuverlässigen Zertifizierungsstelle an, die technischen Support anbietet.
  • Überlegen Sie, welchen Zertifikattyp Sie benötigen:
    • Ein Zertifikat für eine einzige sichere Quelle (z. B. ihrebeispielurl.de)
    • Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. ihrebeispielurl.de, cdn.ihrebeispielurl.de, ihrebeispielurl.co.uk)
    • Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. a.ihrebeispielurl.de, b.ihrebeispielurl.de)

Serverseitige 301-Weiterleitungen verwenden

Leiten Sie Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwenden Sie dazu serverseitige 301-HTTP-Weiterleitungen.

Sicherstellen, dass Google Ihre HTTPS-Seiten crawlen und indexieren kann

  • Blockieren Sie Ihre HTTPS-Seiten nicht durch robots.txt-Dateien.
  • Fügen Sie keine noindex-Meta-Tags in Ihre HTTPS-Seiten ein.
  • Verwenden Sie Abruf wie durch Google, um zu überprüfen, ob der Googlebot tatsächlich Zugriff auf Ihre Seiten hat.

Unterstützung von HSTS

Wir empfehlen für HTTPS-Websites eine Unterstützung von HSTS. Dadurch wird der Browser angewiesen, Seiten automatisch über HTTPS aufzurufen, auch wenn der Nutzer http in die Adresszeile eingibt. Gleichzeitig wird Google aufgefordert, sichere URLs in den Suchergebnissen anzuzeigen. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.

Um HSTS zu unterstützen, verwenden Sie einen Webserver, der HTTP Strict Transport Security (HSTS) unterstützt, und aktivieren Sie diese Option.

 HSTS erhöht die Komplexität Ihrer Rollbackstrategie. Sie sollten HSTS folgendermaßen aktivieren:

  1. Stellen Sie Ihre HTTPS-Seiten zuerst ohne HSTS online.
  2. Senden Sie HSTS-Header mit einem niedrigen Höchstalter. Beobachten Sie die Zugriffe von Nutzern und anderen Kunden sowie die Leistung von anderen abhängigen Elementen wie Werbung.
  3. Erhöhen Sie langsam das HSTS-Höchstalter.
  4. Wenn HSTS sich nicht negativ auf die Nutzer und Suchmaschinen auswirkt, können Sie Ihre Website auch der HSTS-Vorabladeliste von Chrome hinzufügen lassen.

Eine HSTS-Vorabladung nutzen

Wenn Sie HSTS aktivieren, können Sie optional die HSTS-Vorabladung nutzen, um die Sicherheit zu erhöhen. Rufen Sie dazu die Seite hstspreload.org auf und erfüllen Sie die Einreichungsanforderungen für Ihre Website.

includeSubDomains

Für eine HSTS-Vorabladung müssen Sie die Anweisung includeSubDomains im HSTS-Header einrichten. Die Zuordnung von Subdomains funktioniert so: Wird durch die Website www.ihrebeispielurl.de ein HSTS-Header mit includeSubDomains bereitgestellt, werden die folgenden Domains zugeordnet:

Einstellung includeSubDomains = true für Website www.ihrebeispielurl.de
URL Zugelassen?
www.ihrebeispielurl.de Übereinstimmung
foo.www.ihrebeispielurl.de Übereinstimmung
ihrebeispielurl.de Keine Übereinstimmung
foo.ihrebeispielurl.de Keine Übereinstimmung

Häufig auftretende Probleme vermeiden

Vermeiden Sie folgende häufig auftretenden Fehler beim Absichern Ihre Website mit TLS:

Problem Aktion
Abgelaufene Zertifikate Achten Sie darauf, dass Ihr Zertifikat jederzeit aktuell ist.
Zertifikat wurde für den falschen Websitenamen ausgestellt. Vergewissern Sie sich, dass das Zertifikat auf den korrekten Hostnamen ausgestellt wurde. Wenn Sie beispielsweise ein Zertifikat für www.ihrebeispielurl.de ausstellen lassen und Ihre Website wurde für ihrebeispielurl.de konfiguriert, stimmen die beiden Namen nicht überein.
Unterstützung für Server Name Indication (SNI) fehlt. Vergewissern Sie sich, dass Ihr Webserver SNI unterstützt und dass Ihre Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn Sie Unterstützung für ältere Browser anbieten möchten, benötigen Sie eine dedizierte IP-Adresse.
Crawling-Fehler Blockieren Sie das Crawling Ihrer HTTPS-Website nicht durch eine robots.txt-Datei.
Indexierungsfehler Lassen Sie nach Möglichkeit die Indexierung Ihrer Seiten durch Suchmaschinen zu. Verwenden Sie nicht das Meta-Tag Noindex.
Alte Protokollversionen Alte Protokollversionen enthalten Sicherheitslücken. Achten Sie darauf, die neuesten Versionen der TLS-Bibliothek zu verwenden und die neuesten Protokollversionen zu implementieren.
Verschiedenartige Sicherheitselemente Betten Sie nur HTTPS-Inhalte auf HTTPS-Seiten ein.
Verschiedenartige Inhalte unter HTTP und HTTPS Vergewissern Sie sich, dass die Inhalte auf Ihrer HTTP- und Ihrer HTTPS-Website identisch sind.
Fehler bei HTTP-Statuscodes unter HTTPS Stellen Sie sicher, dass Ihre Website den richtigen HTTP-Statuscode zurückgibt. Der Code ist beispielsweise 200 OK für erreichbare Seiten oder 404 bzw. 410 für nicht vorhandene Seiten.

Weitere Tipps

Weitere Tipps zur Verwendung von HTTPS-Seiten auf Ihrer Website finden Sie in den FAQs zur HTTPS-Migration.

Migration von HTTP zu HTTPS

Wenn Sie Ihre Website von HTTP nach HTTPS migrieren, behandelt Google dies als Websiteverschiebung mit URL-Änderung. Dies kann sich vorübergehend auf Ihre Traffic-Zahlen auswirken. Weitere Informationen finden Sie auf der Übersichtsseite zum Verschieben einer Website.

Fügen Sie der Search Console die HTTPS-Property hinzu. Die Search Console verarbeitet HTTP und HTTPS getrennt, Daten für diese Properties sind in der Search Console nicht sichtbar. Falls Sie also Seiten mit beiden Protokollen haben, benötigen Sie für jede Seite eine eigene Search Console-Property.

Weitere Informationen

Weitere Informationen zur Implementierung von TLS auf Ihrer Website:

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?