Bereits seit über zwei Jahren zählt die SSL-Verschlüsselung zu den Ranking-Faktoren bei Google. Trotzdem ist das Sicherheitsprotokoll nach wie vor meist nur für Shop-Betreiber und Sicherheits-Experten ein Thema.
Den Großteil der Webmaster schreckten vermutlich die Kosten und die aufwendige Einrichtung von der Umstellung auf SSL ab. Doch dann brachte die Internet Research Group - ein Zusammenschluss von großen Technologie-Playern wie der Mozilla Foundation, Google und Facebook - mit ihrer Initiative „Let’s Encrypt“ das Thema zurück auf die Agenda. Langfristiges Ziel dabei ist, SSL zum Internet-Standard zu machen und so ein sicheres Netz für alle zu garantieren.
Seit Ende 2015 gibt es dank "Let’s Encrypt" nun die Möglichkeit, SSL unkompliziert und kostenlos auf Webseiten einzurichten. Für Seitenbetreiber wird es also spätestens jetzt höchste Zeit, das Thema Verschlüsselung in Angriff zu nehmen. Dabei sollten jedoch die Herausforderungen im Blick behalten werden, die in punkto Suchmaschinenoptimierung durch SSL entstehen.
Was bedeutet SSL?
Die Abkürzung SSL steht für Secure Sockets Layer und bezeichnet ein Verschlüsselungsprotokoll für die sichere Datenübertragung im Internet. Gelegentlich ist auch von TLS (Transport Layer Security) die Rede. TLS ist das Nachfolgeprotokoll von SSL und damit der aktuelle Verschlüsselungsstandard. Die Bezeichnung konnte sich jedoch nie richtig durchsetzen.
Seit wann gibt es SSL?
Die erste SSL-Version wurde 1994 als SSL 1.0 von Netscape Communications veröffentlicht, kurz nach dem Start von Mosaik, dem ersten Webbrowser mit großer Verbreitung. Wegen großer Sicherheitslücken wurden in kurzer Abfolge die Versionen 2.0 (1995) und 3.0 (1996) nachgeschoben. Erst die Version 3.0 war sicher genug, um von der IETF als Standard anerkannt zu werden (siehe RFC 6101) und sich somit zu etablieren.
Was ist ein SSL-Zertifikat?
Um SSL nutzen zu können, benötigt man ein Zertifikat, das den sogenannten Schlüssel oder Public Key enthält. Ausgegeben wird dieser Schlüssel von einer kleinen Anzahl vertrauenswürdiger Zertifizierungsstellen, kurz CAs (Certification Authorities) genannt. CAs müssen vor der Ausstellung des Zertifikats die Identität des Servers beziehungsweise des Domain-Inhabers überprüfen. Zu den bekanntesten CAs gehören unter anderem VeriSign, Thawte und Symantec.
Abbildung 1: Liste der CAs, denen der aktuelle Firefox vertraut.
Wird eine Verbindung zu einer Webseite aufgebaut und eine verschlüsselte Verbindung angefragt, antwortet der angefragte Server zunächst mit seinem Zertifikat. Damit kann der anfragende Host bei der CA die Identität des Servers überprüfen. War das erfolgreich, entsteht eine verschlüsselte Verbindung. Server und Browser übermitteln sich ab diesem Zeitpunkt die Daten – wie etwa Kreditkartennummern oder PIN – so, dass sie für Dritte nicht mehr lesbar sind.
Ein einfaches Beispiel:
Immer, wenn "HTTPS://www.amazon.de" aufgerufen wird, schickt Amazon zuerst seinen öffentlichen Schlüssel zurück. Der eigene Browser schaut dann ob er der entsprechenden CA vertraut (bei Amazon ist das aktuell Symantec) und schickt den Schlüssel dort hin. Symantec prüft anschließend, ob der Schlüssel in das dort für amazon.de hinterlegte Schloss passt und verifiziert im Erfolgsfall die Verbindung zwischen dem Browser und amazon.de.
Die Adresse einer verschlüsselten Seite beginnt immer mit HTTPS. Alles Weitere hängt vom jeweils benutzten Browser ab. Eines der gängigsten Symbole für eine sichere Verbindung ist das verriegelte Schloss auf grünem Untergrund, das beispielsweise bei Firefox, Safari und Google Chrome erscheint.
Abbildung 2: Das grüne Schloss und der Protokollname HTTPS signalisieren eine sichere Verbindung.
Im Sommer 2014 setzte Google die SSL-Verschlüsselung offiziell auf die Liste der Ranking-Faktoren. Für Google ein eher ungewöhnlicher Schritt, da sich das Unternehmen mit Informationen zu seinen Ranking-Kriterien in der Regel sehr bedeckt hält. Nach eigenen Angaben möchte Google damit die (Daten-)Sicherheit im Netz fördern - dazu passt das Engagement für "Let’s Encrypt". Studien zeigen, dass eine Umstellung von HTTP auf HTTPS tatsächlich signifikante Ranking-Vorteile für Webseiten bringen.
Dennoch ist die Verschlüsselung per SSL derzeit alles andere als Standard. Selbst große Webseiten verzichten nach wie vor auf gesicherte Verbindungen. Eine verschlüsselte Verbindung ist also noch immer eine Möglichkeit, seiner Konkurrenz einen Schritt voraus zu sein.
Neben der Chance auf erhöhte Sichtbarkeit ist das durch SSL gewonnene höhere Nutzervertrauen - auch Trust genannt - ein weiterer Pluspunkt. Die Verschlüsselung ist, dank der grün markierten Adresszeile und des Schloss-Symbols, für Nutzer ein klar erkennbares Trust-Signal. Nach der Einschätzung von Experten führt das erhöhte Vertrauen zu einer geringeren Absprungrate und in der Folge zu einem verbesserten Ranking.
SSL soll Daten schützen, liefert aber auch gleichzeitig Daten, die für die Optimierung einer Webseite essentiell sind. Denn wenn ein Benutzer von einer SSL-verschlüsselten Seite auf eine nicht verschlüsselte Seite wechselt, geht der Referrer verloren und der Visit erscheint in Webanalyse-Tools, wie Google Analytics, als direkter Seitenaufruf. Bei einem Verweis von einer verschlüsselten Seite auf eine andere verschlüsselte Seite bleibt der Referrer erhalten und die Datenqualität steigt.
Im Dezember 2014 rief Rajiv Pant, CTO der New York Times, in einem Blogbeitrag alle Nachrichten-Seiten dazu auf, auf SSL/TLS umzustellen. Passiert ist bis heute wenig, auch bei der New York Times selbst nicht. Warum?
Vermutlich weil die Menschen in den Vermarktungsabteilungen der großen Publisher den Hinweis Nummer 10528 in den Google Adsense-FAQs ernst nehmen. Dort wird nämlich davor gewarnt, dass "Sie mit Anzeigen auf Ihren HTTPS-Seiten unter Umständen weniger einnehmen als mit Anzeigen auf Ihren HTTP-Seiten."
Dem ist tatsächlich so - Erfahrungsberichte zeigen, dass der Umsatz pro 1000 Bannereinblendungen (RPM) nach einer Umstellung auf SSL/TSL um 15 bis 35 Prozent sinkt.
Die Erklärung dafür ist relativ einfach: Eine verschlüsselte Seite gilt für den Browser nur als wirklich sicher, wenn auch alle externen Ressourcen, wie zum Beispiel Werbebanner, über sichere Verbindungen geladen werden. Ist das nicht der Fall, zeigt der Browser statt des vertrauenserweckenden grünen Schlosses eine kleine Warnung an. AdServer beziehungsweise Publisher, die ihre Werbemittel noch nicht über HTTPS ausliefern, können also nicht an der Versteigerung von Werbeflächen auf HTTPS-Seiten teilnehmen. Durch weniger Bieter sinkt der Konkurrenzdruck, was eine fallende RPM (Revenue Per Mille) zur Folge hat.
Abbildung 3: Weniger Bieter sorgen für eine fallende RPM. (Quelle: checkdomain.de)
SSL-Zertifikate gibt es mittlerweile zwar zum Nulltarif, die Sicherheit ist aber trotzdem nicht kostenlos: Das Ver- und Entschlüsseln der Daten verbraucht Rechenleistung auf dem Webserver und beim Client. Mit aktuellen Servern und Endgeräten ist das in der Regel kein Problem. Betreibt jemand aber einen eigenen, älteren Server, kann es zu Performance-Problemen kommen.
Wichtig: Der "Handshake" zwischen Server und Client dauert im Falle einer verschlüsselten Verbindung etwa drei Mal so lange. Dies führt zu einer Verzögerung im Seitenaufbau und erhöht vor allem die für Google so wichtige TTFB.
Darüber hinaus wird auch das Caching negativ beeinflusst - ISP-Caching, also das Zwischenspeichern von sehr häufig aufgerufenen Inhalten durch den Internetanbieter, entfällt zum Beispiel komplett.
Das Einrichten eines SSL-Zertifikates ist dank entsprechender Angebote von Hosting-Anbietern mittlerweile quasi auf Knopfdruck zu bewältigen. Doch damit ist es leider nicht getan. Webseitenbetreiber müssen sich im Hinblick auf SEO unter anderem darum kümmern, alle internen Links auf HTTPS umzustellen und doppelte Inhalte durch gut strukturierte Redirects zu vermeiden.
Um eine möglichst suchmaschinen-konforme Umstellung zu erreichen, sollten Seitenbetreiber einige Punkte unbedingt beachten. Eine zentrale Rolle spielt dabei die Google Search Console (ehemals Google Webmaster Tools). Hier ist es unbedingt notwendig, direkt nach der Umstellung auch die neue HTTPS-Version der Webseite einzurichten.
Alle alten URLs sollten mit einem 301-Redirect auf die HTTPS-Variante weitergeleitet werden (das funktioniert zum Beispiel per htaccess)
Auch Canonical Tags sollten in die SSL-Variante umgeschrieben werden
Sofern bei den internen Links keine relativen Links verwendet wurden, sollten diese ebenfalls umgebaut werden, um unnötige Redirects zu vermeiden
Die robots.txt Datei sollte auch via HTTPS erreicht werden
Es sollte sichergestellt sein, dass alle internen und externen Ressourcen (Bilder, Scripte, CSS etc.) über HTTPS laden - ansonsten werden im Browser für den Nutzer abschreckende Warnungen angezeigt
In der Google Search Console sollte eine neue Property für die HTTPS-Version der Seite angelegt sein
Die Sitemap sollte neu erstellt und bei der Google Search Console eingereicht werden
Wurde bisher in der Search Console ein disavow-File verwendet, sollte dieses in den neuen Account für die HTTPS-Version der Seite transferiert werden. Das gilt auch für alle anderen Einstellungen
HTTP Strict Transport Security (HSTS) sollte eingeführt werden: Dieser Sicherheitsmechanismus schützt HTTPS-Verbindungen vor der Aushebelung der Verbindungsverschlüsselung durch downgrade- Attacken
Viele Punkte sprechen dafür, Webseiten auf SSL/TLS umzustellen. Ein höheres Vertrauen der Nutzer in die Seite, eine Chance auf bessere Rankings und eine stark erhöhte Datensicherheit sind dabei die stärksten Argumente. Lediglich Betreiber (rein) werbefinanzierter Seiten profitieren von der Umstellung zumindest kurzfristig nicht. In diesen Fällen kann es sich lohnen, noch etwas abzuwarten und wichtige Seiten wie etwa die großen Nachrichtenportale im Auge zu behalten. Wenn diese ihre Seiten verschlüsseln, ist das ein Zeichen dafür, dass die meisten AdServer HTTPS-fähig sein dürften. Eine Entwicklung in diese Richtung zeichnet sich bereits ab.
Veröffentlicht am May 23, 2016 von Torge Kahl