« Zurück zum Magazine

HTTPS, SSL und SEO: Mit Sicherheit besser ranken

Google Chrome kennzeichnete ab dem 01. Januar 2017 Webseiten ohne SSL-Verschlüsselung als unsicher. Dieser Artikel zeigt, was Du tun kannst und erklärt anhand praxisnaher Beispiele wie eine SSL-Verschlüsselung funktioniert.

Mit einem Anteil von 73,8% ist Google Chrome der meist verwendete Browser weltweit. Direkt dahinter mit knapp 15% steht Mozilla Firefox. Aktuell werden in beiden von diesen Browsern unverschlüsselte Webseiten in der Adressleiste mit einem eingekreisten "i" angezeigt. Beim Klick auf das Symbol erhält man den Hinweis, dass die "Verbindung nicht sicher ist".

Ab Januar 2017 gab der Google Chrome-Browser in der Version 56 erstmals einen Warnhinweis heraus, sobald eine Webseite ohne SSL-Zertifikat aufgerufen wird. Zudem sollten Google-Chrome-Nutzer dann auch noch an anderen Stellen vor unverschlüsselten Webseiten gewarnt werden. Am 17.08.2017 hat Google schließlich mit einer über die GSC verschickten Warn-Mail für anhaltende Aufregung gesorgt.

Abbildung 1: Browser-Marktanteile weltweit von Nov. 2016

Wie SSL funktioniert

Wird eine SSL-verschlüsselte Webseite aufgerufen, so antwortet der angefragte Server zunächst mit einem Zertifikat. Diese werden von einer Certification Authority (CA) ausgestellt. Namhafte CAs sind beispielsweise Symantec, Thawte oder GlobalSign. Mit dem Zertifikat kann der User die Identität des Servers und die Gültigkeit der Verschlüsselung überprüfen.

Die Verschlüsselung selbst erfolgt stets mit Hilfe des Public-Key-Verfahrens: Dabei werden Daten bei ihrer Versendung codiert und beim Empfang wieder decodiert. Sollten die Daten während ihres Transfers vom Server zum Empfänger abgegriffen werden, so sind sie aufgrund ihrer Verschlüsselung unbrauchbar.

Abbildung 2: Graphische Darstellung der Funktionsweise von SSL/TLS

Ein grünes Schloss links neben der URL zeigt Benutzern anschließend, dass die Seite über ein SSL-Zertifikat verfügt und ob die Daten, die auf dieser Seite transferiert werden, verschlüsselt und damit vor der Einsicht und der Manipulation durch Dritte geschützt sind.

Ob eine Webseite mit einem Protokoll verschlüsselt ist, kann aber nicht nur an dem Vorhängeschloss abgelesen werden, sondern auch an dem Kürzel HTTPS. Für den Fall, dass es mit der Verbindung zur Webseite oder der Einbindung des Zertifikats Probleme gibt, so wird dies in der Browserleiste mit einem roten Dreieck angezeigt.

Exkurs: SSL und TLS

SSL und TLS sind zwei unterschiedliche Begriffe für ein und dieselbe Sache. Beide geben der Verschlüsselung von Webseiten mit Hilfe eines hybriden Protokolls ihre Bezeichnung. Bei TLS (Transport Layer Security) handelt es sich jedoch um die Weiterentwicklung von SSL (Secure Sockets Layer). Die Bezeichnung TLS schaffte es in weiten Teilen jedoch nicht sich zu etablieren und ist damit vielen unbekannt. Unter Berücksichtigung dieser Tatsache verwenden auch viele Internet Provider nach wie vor den Begriff SSL.

Große Erfolge der Initiative „HTTPS Everywhere“

Zwei Jahre nach dem Kick-Off der Sicherheitsoffensive "HTTPS Everywhere" stellen sich die ersten sichtbaren Erfolge ein. Im Oktober 2016 wurde bekanntgegeben, dass inzwischen die Hälfte aller Webseiten mit einer SSL-Verschlüsselung ausgestattet sind. Dies ergaben die ausgewerteten Telemetriedaten von Google und Mozilla Firefox.

Der Transparenzbericht von Google legt offen, dass:

  • 49 der 100 meist besuchten Webseiten weltweit Ihren Onlineauftritt standardmäßig in HTTPS ausliefern, unter ihnen amazon.de, facebook.com und linkedin.com.

  • Weitere 7 Webseitenbetreiber verwenden ebenfalls modernes HTTPS, aber noch nicht automatisch. Dass heißt, die zusätzliche Eingabe von HTTPS:// ist notwendig, um die verschlüsselte Seite besuchen zu können.

  • 12 der Top 100 Webseiten arbeiten derzeit an einer vollständigen Verschlüsselung.

  • Apple.com, ebay.com und bing.com schützen aktuell nur ihre Login-Bereiche mit einem Verschlüsselungsprotokoll.

  • Amazonaws.com verwendet zwar Standard-HTTPS, leitet dazu jedoch auf eine Landingpage um.

Mit vorbildlicher Konsequenz handelt der, mit einem Marktanteil von 58,8% weltweit führende Content-Management-System-Anbieter WordPress:

Gründer Matt Mullenweg gab in einem Blogartikel bekannt, dass ab nächstem Jahr einige Änderungen in Kraft treten werden. So sollen seinen Angaben zufolge einige Features eingeführt werden, die nur für Webseiten nutzbar sind, die HTTPS unterstützen. Zudem werden jene Hoster künftig nicht mehr unterstützt und promotet, die keine standardmäßige SSL-Verschlüsselung anbieten.

Abbildung 3: Anteile verschlüsselter Webseiten weltweit

Global Player mit Nachholbedarf

Die Nachrichtenriesen cnn.com, forbes.com und dailymail.co.uk bilden das Negativbeispiel: Sie weisen aktuell keinerlei Verschlüsselung auf. Die Entscheidung gegen eine Verschlüsselung der eigenen Webseite wird insbesondere von Nachrichtenportalen vielfach bewusst getroffen, da durch eine Auslieferung des Onlineauftritts in HTTPS unter Umständen Werbeeinnahmen wegbrechen können. Denn Anzeigen, die nicht SSL-konform sind, werden von AdSense automatisch aus der Auktion entfernt.

Aber auch diejenigen Anzeigen, die mit einem Verschlüsselungsprotokoll kompatibel sind, schneiden hinsichtlich der generierten Umsätze nach einer Umstellung auf HTTPS häufig schlechter ab. Die Werbeeinnahmen sinken dabei um bis zu 35%. Nichtsdestotrotz stellen ungesicherte Verbindungen ein Sicherheitsrisiko dar, das keinesfalls in Kauf genommen werden sollte. Zu Google Chromes selbsterklärtem Ziel (einer omnipräsenten SSL-Verschlüsselung im Netz) ist es also noch ein weiter Weg.

Abbildung 4: Aktuelle Warnhinweis zu unverschlüsselten Seiten bei Google Chrome und Mozilla Firefox

Neben den großen Nachrichtenportalen haben besonders mittelständische Unternehmen Nachbesserungsbedarf. Der Anteil derjenigen, die eine SSL-Verschlüsselung verwenden, beläuft sich auf etwa 50%. Die Gründe für die zurückhaltende Nutzung eines Verschlüsselungsprotokolls sind in diesem Fall aber nicht die möglichen Umsatzeinbußen im Bereich der Online-Werbung, sondern das Fehlen von Compliance-Regeln im Unternehmen sowie Anwenderprobleme der Mitarbeiter.

Das grundsätzliche Gefahrenbewusstsein ist aber vorhanden: Etwa drei viertel der befragten Unternehmen verschlüsseln Daten bei der Speicherung auf ihren Storage-Systemen, fast zwei drittel haben Software zur Verschlüsselung von E-Mails im Einsatz. Die Nutzung ist also in weiten Teilen noch inkonsequent.

Vorteile einer SSL-Verschlüsselung

Eine SSL-Verschlüsselung macht eine Unternehmensseite sicherer und stärkt das Vertrauen der Kunden in den aufgerufenen Onlineauftritt. Dieser Trust ist ein wichtiges Nutzer Signal, das positive Auswirkungen auf Deine SEO-Optimierungen haben kann. Außer dem Kunden und dem Server kann schließlich kein Dritter die Kommunikation mitlesen oder manipulierend eingreifen. Das Verschlüsselungssymbol entspricht damit einem Qualitätssiegel. User bleiben länger auf der aufgerufenen Seite und demzufolge sinkt die Absprungrate.

Dies gilt besonders für den Bereich E-Commerce: Das Verschlüsselungssymbol führt zu einer enormen Reduktion der Abbrüche bei Shopping-Transaktionen, insbesondere dann wenn die Site Seals auf der Homepage eingebunden sind. Die niedrigen Absprungraten wirken sich vor allem positiv auf die Sichtbarkeit in Suchmaschinen aus und können zu einer besseren Platzierung in den SERPs führen. Google berücksichtigt die SSL-Verschlüsselung bereits seit 2014 als Ranking-Faktor. Dies betont nochmals wie wichtig SSL und HTTPS für SEO ist. Mit einem Marktanteil von 92,45% unter den Suchmaschinen gibt Google damit klar den Kurs vor.

Abbildung 5: Marktanteile der Suchmaschinen in Deutschland

Ein weiterer Nutzen entsteht dem Webseitenbetreiber durch die steigende Datenqualität. Wechselt ein User von einer HTTPS-Seite auf eine unverschlüsselte Seite, so geht der Referrer verloren. Das heißt der Aufruf der Ausgangs-URL wird gelöscht und lediglich der Besuch der unverschlüsselten Seite wird als direkter Visit in Webanalyse-Tools wie Google Analytics gewertet.

Wechselt man hingegen von einem verschlüsselten Onlineauftritt auf eine andere SSL-verschlüsselte Webseite, so bleibt der Referrer bestehen und die Datenqualität steigt. Die Implementierung eines SSL-Zertifikats bringt damit entscheidende Vorteile mit sich, die sich nicht von der Hand weisen lassen. Aktuelle Entwicklungen und wie Du Deine Website konkret auf HTTPS umstellst, zeigen wir Dir in diesem Artikel.

Fazit

Die Implementierung eines SSL-Zertifikats ist seit 2017 nicht mehr nur eine gut gemeinte Empfehlung, sondern ein absolutes Muss. Denn ab 2018 wird sie der neue Standard bei Google Chrome, Mozilla Firefox und WordPress sein.

Ab Januar 2017 hat Google Chrome bereits vor unverschlüsselten Seiten gewarnt und WordPress wird keine Hoster unterstützen, die ihre Seite nicht standardmäßig in HTTPS ausliefern. All diese Aspekte sprechen dafür, Webseiten auf SSL umzustellen. Ein höheres Vertrauen der Nutzer in die Seite, eine Chance auf bessere Rankings und eine stark erhöhte Datensicherheit sind dabei die stärksten Argumente.

Theorie ist gut - Praxis ist besser! Jetzt Webseite analysieren mit Ryte FREE

Veröffentlicht am Dec 15, 2016 von Michael Piotrowski