Website mit HTTPS sichern

HTTPS (HyperText Transfer Protocol Secure) ist ein Internetkommunikationsprotokoll, das die Integrität und Vertraulichkeit des Datenverkehrs zwischen dem Computer des Nutzers und der Website schützt. Nutzer erwarten eine sichere Umgebung, wenn sie eine Website verwenden. Unabhängig vom Inhalt deiner Website empfehlen wir dir die Verwendung von HTTPS, um die Kommunikation deiner Nutzer mit deiner Website zu schützen.

Über HTTPS gesendete Daten werden vom Transport Layer Security-Protokoll, kurz TLS, geschützt. Dieses bietet drei wichtige Sicherheitsebenen:

  1. Verschlüsselung: Die übermittelten Daten werden verschlüsselt, damit sie nicht gelesen werden können. Wenn also ein Nutzer auf deiner Website surft, kann niemand seine Unterhaltungen „abhören“, seine Aktivitäten über verschiedene Seiten hinweg mitverfolgen oder seine Daten stehlen.
  2. Datenintegrität: Daten können bei der Übertragung nicht unbemerkt verändert oder beschädigt werden, weder absichtlich noch unabsichtlich.
  3. Authentifizierung: Über diesen Vorgang wird bestätigt, dass nur der Nutzer und niemand anders mit der gewünschten Website kommuniziert. Die Authentifizierung schützt vor Man-in-the-Middle-Angriffen und stärkt das Vertrauen der Nutzer, was deinem Unternehmen weitere Vorteile verschafft.

Best Practices für die Implementierung von HTTPS

Starke Sicherheitszertifikate verwenden

Wenn du HTTPS für deine Website einrichtest, benötigst du ein Sicherheitszertifikat. Dieses Zertifikat wird von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt, die überprüft, ob deine Webadresse tatsächlich zu deiner Organisation gehört, und dadurch deine Kunden vor Man-in-the-Middle-Angriffen schützt. Wähle bei der Einrichtung deines Zertifikats für eine hohe Sicherheit einen 2.048-Bit-Schlüssel. Wenn du bereits über ein Zertifikat mit einem schwächeren Schlüssel (1.024 Bit) verfügst, aktualisiere ihn auf 2.048 Bit. Beachte bei der Auswahl eines Websitezertifikats Folgendes:

  • Fordere das Zertifikat von einer zuverlässigen Zertifizierungsstelle an, die technischen Support anbietet.
  • Überlege, welchen Zertifikattyp du benötigst:
    • Ein Zertifikat für eine einzige sichere Quelle (www.example.com).
    • Ein Zertifikat für mehrere Domains, d. h. für mehrere bekannte und sichere Quellen (z. B. www.example.com, cdn.example.com, example.co.uk).
    • Platzhalterzertifikat für eine sichere Quelle mit mehreren dynamischen Subdomains (z. B. a.example.com, b.example.com).

Dauerhafte serverseitige Weiterleitungen verwenden

Leite Nutzer und Suchmaschinen auf die HTTPS-Seite oder -Ressource weiter. Verwende dazu dauerhafte serverseitige Weiterleitungen.

Dafür sorgen, dass Google deine HTTPS-Seiten crawlen und indexieren kann

  • Teste mit dem URL-Prüftool, ob der Googlebot auf deine Seiten zugreifen kann.
  • Blockiere deine HTTPS-Seiten nicht durch robots.txt-Dateien.
  • Füge keine noindex-Tags in deine HTTPS-Seiten ein.

Unterstützung von HSTS

HTTPS-Websites sollten HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Nutzer in die Adressleiste des Browsers http eingibt. Gleichzeitig wird Google aufgefordert, sichere URLs in den Suchergebnissen anzuzeigen. Durch diese Maßnahmen wird das Risiko minimiert, dass Nutzer unsichere Inhalte aufrufen.

Verwende zur Unterstützung von HSTS einen geeigneten Webserver und aktiviere die Funktion.

HSTS erhöht die Sicherheit, aber auch die Komplexität deiner Rollbackstrategie. Wir empfehlen, HSTS so zu aktivieren:

  1. Stelle deine HTTPS-Seiten zuerst ohne HSTS online.
  2. Sende HSTS-Header mit einem niedrigen max-age. Beobachte die Zugriffe von Nutzern und anderen Kunden sowie die Leistung von anderen abhängigen Elementen wie Werbung.
  3. Erhöhe langsam das HSTS-max-age.
  4. Wenn sich HSTS nicht negativ auf die Nutzer und Suchmaschinen auswirkt, kannst du deine Website der HSTS-Vorabladeliste hinzufügen, die von den meisten gängigen Browsern verwendet wird. Dies erhöht die Sicherheit und die Leistung.

Häufig auftretende Probleme vermeiden

Vermeide folgende häufig auftretenden Fehler beim Absichern deiner Website mit TLS:

Häufig auftretende Probleme und Lösungen
Abgelaufene Zertifikate Achte darauf, dass dein Zertifikat jederzeit aktuell ist.
Zertifikat wurde für den falschen Websitenamen ausgestellt. Überprüfe, ob du ein Zertifikat für alle Hostnamen erhalten hast, die von deiner Website bereitgestellt werden. Wenn dein Zertifikat beispielsweise nur www.example.com abdeckt, werden Besucher deiner Website blockiert, die nur example.com ohne das Präfix www. eingeben, da der eingegebene Name nicht mit dem Zertifikat übereinstimmt.
Unterstützung für Server Name Indication (SNI) fehlt. Kontrolliere, ob dein Webserver SNI unterstützt und deine Zielgruppe im Allgemeinen unterstützte Browser verwendet. SNI wird von allen modernen Browsern unterstützt. Wenn du Unterstützung für ältere Browser anbieten möchtest, benötigst du eine dedizierte IP-Adresse.
Crawling-Fehler Blockiere das Crawling deiner HTTPS-Website nicht durch robots.txt. Weitere Informationen
Indexierungsfehler Lass nach Möglichkeit die Indexierung deiner Seiten durch Suchmaschinen zu. Verwende nicht das Tag noindex.
Alte Protokollversionen Alte Protokollversionen enthalten Sicherheitslücken. Achte darauf, die aktuelle Version der TLS-Bibliotheken zu verwenden und die aktuellen Protokollversionen zu implementieren.
Verschiedenartige Sicherheitselemente Bette nur HTTPS-Inhalte auf HTTPS-Seiten ein.
Verschiedenartige Inhalte unter HTTP und HTTPS Kontrolliere, ob die Inhalte auf deiner HTTP- und deiner HTTPS-Website identisch sind.
Fehler bei HTTP-Statuscodes unter HTTPS Prüfe, ob deine Website den richtigen HTTP-Statuscode zurückgibt. Beispiel: 200 OK für erreichbare Seiten oder 404 oder 410 für nicht vorhandene Seiten.

Migration von HTTP zu HTTPS

Wenn du deine Website von HTTP nach HTTPS migrierst, behandelt Google das als Websiteverschiebung mit URL-Änderungen. Das kann sich vorübergehend auf deine Zugriffszahlen auswirken. Weitere Informationen findest du in den Empfehlungen für alle Websiteverschiebungen.

Füge der Search Console die neue HTTPS-Property hinzu. Die Search Console behandelt HTTP und HTTPS getrennt. Daten zwischen diesen Properties werden nicht in der Search Console geteilt.

Weitere Tipps zur Verwendung von HTTPS-Seiten auf deiner Website findest du in den FAQ zur Migration von HTTP zu HTTPS.

Weitere Ressourcen zur Implementierung von TLS

Nachfolgend findest du einige zusätzliche Ressourcen zur Implementierung von TLS auf deiner Website: