Selten spricht Google so klare Worte über den eigenen Suchalgorithmus. Wie das Unternehmen aus Mountain View aber nun jüngst in einem Blogbeitrag berichtet, soll https ein Ranking-Signal sein. Konkret bedeutet das, dass Seiten die https verwenden im Vergleich zu Seiten die nicht https verwenden, ein Ranking-Vorteil im Algorithmus besitzen. Zwar relativiert Google in dem Beitrag den Faktor gleich wieder, in dem es sagt, dass https nur leicht gewichtet wird und andere Signale, wie gute Inhalte, immer noch stärker im Fokus stehen. Dennoch schreibt auch Google weiter ganz klar, dass diese Gewichtung geändert werden kann und man den Seitenbetreiber momentan einfach Zeit geben möchte, ihre Seiten auf https umzustellen. Nun stellt sich also die Frage, ob man https unbedingt für die eigene Seite braucht, denn in den meisten Fällen dürfte die Umstellung mit Kosten verbunden sein. Bevor ich mich dieser Frage aber widmen möchte, möchte ich erst einmal für alle die mit https bisher nichts anfangen können, diese Technik etwas näher erläutern.
Inhalt
https die sichere http-Alternative
HTTP, also das HyperText Transfer Protocol, ist bisher das Standardprotokoll für die Übertragung von Daten über ein Netzwerk, im Falle des Internets bzw. des World Wide Webs für die Übertragung der Webseiten. Während man früher das http noch in die Adresszeile des Browsers für den Aufruf einer Webseite eingeben musst, übernimmt das heute der Browser ganz von selbst. Damit ist das wohl wichtigste Protokoll des WWW für Webseitbetreiber, aber vor allem für die Besucher, immer mehr in den Hintergrund gerückt.
Doch wie auch schon bei der ein oder anderen Technik zuvor offenbarte sich auch beim Hypertext Transfer Protocol im Laufe der Zeit die ein oder andere Schwäche. Einer dieser Schwächen betrifft die Sicherheit, den bei http werden die Inhalte per Klartext übertragen. Falls also nun jemand Zugriff auf den Transportweg hat, kann er die Daten lesen und auch verändern. Das wird besonders dann kritisch, wenn Anmeldedaten, wie Username und Passwort, über http übertragen werden.
Schon 1994 wurde daher von Netscape das HyperText Transfer Protocol Secure, kurz https, veröffentlicht. Im Gegensatz zu http werden bei https die Inhalte verschlüsselt, sodass falls jemand diese abfängt nichts damit anfangen kann. Möglich macht dies eine Kombination von http mit SSL/TLS. Zentraler Punkt sind bei https die sogenannten Zertifikate, die die Integrität eines Webservers sicherstellen. Diese werden von einer bestimmten Zertifizierungsinstanz (Certificate Authority – CA) an Seitenbetreiber ausgestellt, die dafür bezahlen müssen. Jeder User besitzt in seinem Browser schon von der CA hinterlegte Zertifikate. Ruft man nun eine Seite mit https auf, wird das Zertifikat der aufgerufenen Seite mit dem hinterlegten Zertifikat auf Echtheit überprüft. Erst wenn diese Überprüfung erfolgreich verläuft, können die Daten verschlüsselt übertragen werden.
Warum https für Google so wichtig ist
Ganz nach dem Firmenmotto „Don’t be evil“ will Google natürlich nur das Beste für die Menschen. So hat das Unternehmen beschlossen, dass die Verschlüsselung im ganzen Web doch gar keine schlechte Idee wäre. Schon auf Googles Entwicklerkonferenz Google I/O im Juni 2014 rief man dieses neue Sicherheitsverständnis unter dem Motto “HTTPS everywhere” aus.
Prinzipiell finde ich diese Entwicklung natürlich begrüßenswert, da die Sicherheit bisher im Web immer noch zu kurz kommt. Google selbst profitiert davon auch nicht, soweit ich das überblicken kann, im Grunde kommt es also tatsächlich den Webseiten-Besucher zu gute. Zwar stehen Überlegungen im Raum, dass eine flächendeckende https Umstellung vor allem bei der Verbreitung des Google eigenen Protokoll „SPDY“ helfen soll, ich selbst kann mir aber nicht vorstellen, dass dies die Hauptmotivation von Google ist.
Muss ich jetzt auf https umstellen
Momentan denke ich, dass sich https als Rankingfaktor wirklich nur marginal auswirkt. Dennoch sollte man sich auf jeden Fall überlegen, nun auf https umzurüsten. Allerdings gilt diese Empfehlung nicht für alle Seitenbetreiber. Viel mehr sollten alle auf https umrüsten, die mit Kundendaten umgehen, also beispielsweise eCommerce-Seiten oder Communities. Jeder der ein Log-In, in welcher Form auch immer anbietet, sollte diesen per https absichern. Bei reinen Affiliate- oder Informationsseiten ist meiner Meinung nach kein Handlungsbedarf vonnöten. Auch Google schreibt in seinem Beitrag, dass lediglich 1% der Suchanfragen davon betroffen seien. Ich könnte mir auch gut vorstellen, dass Google irgendwann direkt in den Suchergebnissen darauf hinweist, ob die Seite das sichere https verwendet oder nicht. Spätestens dann wäre man fast schon gezwungen auf https umzurüsten. Als Shopbetreiber würde ich also lieber jetzt reagieren, als später das nachsehen zu haben.
Allerdings kann es sich auch für alle anderen auf lange Sicht auszahlen, jetzt auf https umzusteigen. Google macht ja kein Hehl daraus, dass sie sämtliche Seiten zukünftig nur noch auf https-Basis sehen möchten, auch wenn das meiner Meinung nach völlig utopisch ist. Da ein Zertifikat, das für https notwendig ist, auch einen monatlichen/jährlichen Obulus kostet, dürfte das vor allem für alle die teuer werden, die gleich mehrere Webseiten ihr Eigenen nennen dürfen (ja, ich gehörte dazu leider auch ;-))
Was also tun? Ich persönlich würde jetzt nicht jede popelige Affiliate-Seite auf https umstellen. Letztendlich ist es eine einfach Kosten und Erlösrechnung. Lohnt sich der Umstieg auf https (und damit mein ich nicht nur die Zertifikatgebühren, sondern auch der zeitliche Aufwand für die Umstellung) oder könnte ich damit auch leben später aufgrund des fehlenden https temporäre oder unwiederufbare Einschränkungen hinzunehmen? Je nach dem wie wichtig das eigene Projekt ist, sollte die Entscheidung also ausfallen. Aber Achtung, bei der Umstellung von https auf http gibt es einige Fallstricke, die auf jeden Fall umgehen werden sollten.
Fallstricke bei der Umstellung von http auf https
Da der Artikel jetzt schon so lange ist, möchte ich die nachfolgende Fallstricke die man bei einer Umstellung von http auf https umgehen sollte nur kurz anreißen. Ich werde später wohl noch einen extra Artikel veröffentlichen, der Schritt für Schritt zeigt, was getan werden muss. Folgendes sollte aber auf jeden Fall vermieden werden:
- Doppelte Inhalte (Inhalte sind unter http und https erreichbar)
- Zertifikatfehler (z.B. abgelaufenes oder ungültiges Zertifikat
- Ressourcenprobleme (https ist ressourcenintensiver als http, kann im schlechtesten Fall auch die Seite verlangsamen
- Kompatibilitätsprobleme (Verwendete Plugins, z.B. unter WordPress, könnten Probleme mit der Umstellung auf https haben)
- Kaputte Links (gerade bei absolute Links muss man sehr aufpassen, evtl. auch externe Links anpassen lassen)