Anzeige
Smartes Cloud Hosting für anspruchsvolle Projekte.
↬ Loslegen und Spaces testen ↬ Jetzt testen!
Andreas Hecht 24. Februar 2016

Moderne SEO: Der Google-Rankingfaktor HTTPS und Let’s Encrypt

Rankingfaktor https://

Google implementiert von Zeit zu Zeit immer mal wieder neue Rankingfaktoren. Im Jahr 2014 kündigte Google die Verschlüsselung von Websites mit einem HTTPS-Zertifikat als Rankingfaktor an. Viele Websites sind bereits auf HTTPS umgestiegen und können erste Vorteile im Ranking verzeichnen. Ja, es lassen sich durchaus bereits Vorteile im Ranking messen. Sicherlich ist der Umstieg auf das neue Protokoll in vielen Fällen recht aufwändig, doch der Schritt sollte in Angriff genommen werden, um nicht gegenüber der Konkurrenz ins Hintertreffen zugeraten. Das Projekt Let’s Encrypt erleichtert den Umstieg mit kostenlosen Zertifikaten.

Rankingfaktor https://

Ranking-Faktor HTTPS

Google möchte schnelle Websites sehen, die zudem noch sicher sind. Daher hat sich das Unternehmen entschlossen, die Verschlüsselung von Websites über HTTPS in das Ranking aufzunehmen. Sicher wird es noch etwas dauern, bis Webmaster größere Vorteile durch die Umstellung messen können. Noch möchte Google den Webmastern etwas Zeit für die Umstellung geben, deshalb hat Google nach eigener Aussage die Verschlüsselung zunächst nur als leichtes Ranking-Signal implementiert. Vorteile sind jedoch bereits messbar, besonders starke Marken und Online-Shops können profitieren. Mittlerweile ist der Unterschied in der SEO Visibility von HTTPS-Webseiten gegenüber unverschlüsselten Seiten statistisch signifikant. Bis zu 5 Prozent mehr Sichtbarkeit in den Suchergebnissen sind zur Zeit möglich.

Was ist HTTPS?

HTTPS ist ein Kommunikationsprotokoll zur Datenübertragung im Internet. Der Unterschied zu HTTP besteht in der verschlüsselten und abhörsicheren Übertragung der Daten durch SSL/TLS, ein Verschlüsselungsprotokoll. HTTPS bietet deinen Usern also einen sicheren Kommunikationsweg zwischen ihnen und deiner Website.

Info: HTTPS = HTTP + SSL/TLS

Ohne Verschlüsselung wären alle übertragenden Daten im Internet im Klartext einsehbar und durch Dritte auch manipulierbar, mittels einer Man-in-the-Middle-Attacke. Wird hingegen ein HTTPS-Zertifikat zur Verschlüsselung der Datenübertragung genutzt, ist jede Kommunikation mit der Website sicher und nicht mehr angreifbar. Natürlich stellt sich die Frage, warum man als Eigner eines einfachen Blogs nun faktisch von Google dazu gezwungen werden soll, auf HTTPS umzusteigen. Der Zwang wird kommen, keine Frage. Noch ist HTTPS nur ein leichter Rankingfaktor, doch irgendwann in naher Zukunft wird Google diesen Faktor neu gewichten.

Anzeige

Trotz allem ist natürlich nicht ersichtlich, warum Blogs und News-Websites umstellen sollten. Es ergibt nur dort wirklich Sinn, wo viele sensible Kundendaten übertragen werden müssen. Hier wäre ein Online-Shop das treffende Beispiel. Und doch wird Google eine Umstellung für alle Websites durchsetzen, denn jede Seite möchte gut ranken. Keine Website möchte den direkten Konkurrenten vor sich in den Suchergebnissen sehen, nur weil dieser bereits auf HTTPS umgestellt hat.

Die Kennzeichnung einer HTTPS verschlüsselten Verbindung im Webbrowser

Eine mittels HTTPS verschlüsselte Website lässt sich recht leicht im Browser erkennen. Merkmale sind das Schlosssymbol und das ausgeschriebene HTTPS-Protokoll.

Eine mittels HTTPS verschlüsselte URL

Kostenlos auf HTTPS umsteigen mit Let’s Encrypt

Lets-Encrypt

Let’s Encrypt verspricht Zertifikate für alle und das noch vollkommen kostenlos. Das Projekt wird unter anderem von Mozilla, Facebook und Cisco gesponsert. Der sich in der offenen Beta-Phase befindliche Dienst möchte HTTPS-Zertifikate für jedermann kostenfrei zur Verfügung stellen. Jeder Webmaster kann sich eigene Zertifikate für seine Domain erstellen, wenn der Server die technischen Voraussetzungen erfüllt.

Let’s Encrypt gibt sich nicht damit zufrieden, nur kostenfreie Zertifikate auszustellen, sondern möchte den Prozess zudem automatisieren, damit die zur Zeit nur für 90 Tage gültigen Zertifikate sich automatisch selbst erneuern. Derzeit hingegen muss der Prozess manuell angeschoben werden. Das erldigts du am besten per Cronjob oder Kommandozeilenbefehl. Geplant ist die Herabsetzung der Gültigkeit auf nur noch 30 Tage. Dafür sollen sich die Zertifikate dann jedoch automatisch erneuern. Damit möchte das Projekt dann schneller auf kompromittierte oder missbräuchliche Zertifikate reagieren können.

Wer gerne eins der kostenfreien Zertifikate haben möchte, muss hierzu Vorbereitungen auf seinem Server treffen. Es muss der Let’s Encrypt Client aus dem Github-Repo installiert werden. Der Client erfordert Python 2.6 oder 2.7, eine Unterstützung für 3.0 soll noch nachgeliefert werden. Der Let’s Encrypt Client läuft derzeit nur auf Servern mit Debian Version 8.0 und neuer, inklusive aller Debian-Derivate und Ubuntu ab Version 12.04. Andere Betriebssysteme werden zurzeit noch nicht unterstützt.

Es existieren mittlerweile auch erste Erfahrungen mit dem HTTPS für jedermann.

Fazit

Über kurz oder lang wird man nicht um ein HTTPS-Zertifikat herumkommen. Google wird diesen Rankingfaktor mit Sicherheit bald stärker gewichten. Wer sich jedoch in der Server-Administration etwas auskennt, wird sich schnell und einfach ein Zertifikat kostenlos von Let’s Encrypt sichern können. Damit muss man für das Zertifikat keine größeren Ausgaben mehr tätigen, wie es etwa früher der Fall war. Die Zukunft heißt ganz klar HTTPS. Webmaster sollten die Umstellung ruhig wagen. WordPress-User haben sogar Vorteile, denn das CMS sorgt selbst für die Weiterleitungen der alten HTTP-URLs auf die neuen mit HTTPS-Zertifikat.

Links zum Thema:

(dpe)

Andreas Hecht

Andreas Hecht

entwickelt WordPress-Websites und bietet dir einen Website Sicherheit Service und einen Performance Service für deine Website. Außerdem ist er Spezialist für Onpage SEO und bringt Deine Website in die Top-Suchergebnisse von Google. Auf seinem Blog schreibt er über WordPress, SEO und Content SEO.

7 Kommentare

  1. Hat mittlerweile schon jemand beobachtet, dass Google von alleine versucht, eine öffentlich nur per http verlinkte Website auch per https abzurufen und automatisch zu indizieren? Das wurde ja vor einer Weile mal so propagiert. Ich warte immer noch darauf, dass Google mal versucht, per https auf meine ca. 3 Monate alte Domain zuzugreifen. Die kommen immer nur per http. Und das trotz einwandfreiem Zertifikat und Server. Ich werde die Umleitung wohl irgendwann manuell einrichten, wenn sich das als falsch herausstellt.

  2. Ja, stimmt. Es sollte immer eingesetzt werden, wenn sensible Kundendaten übertragen werden. Das mit der Man-in-the-Middle-Attacke hatte ich bereits im Artikel geschrieben. Doch mal ehrlich: werden bei einem Blog sensible Kundendaten übertragen? Nein. Also braucht ein Blog kein HTTPS-Zertifikat. In dem übrigens nur ausgewiesen wird, dass die Website auch die Website ist. Mehr steht bei den günstigen Zertifikaten nicht drin. Meine Website nutzt schliesslich eines, obwohl es nicht nötig wäre. Es ist nur vorhanden, weil ich es sehr günstig bekommen habe bei meinem Hoster. Die Validation des Betreibers findet nur bei den Extrem teuren Zertifikaten statt. Dort wo der HTTPS-Bereich komplett grün ist und der Name des Betreibers in der Zeile erscheint, wie es bei vielen Online-Shops der Fall ist.

  3. Folgende Aussage stimmt leider nicht:
    Trotz allem ist natürlich nicht ersichtlich, warum Blogs und News-Websites umstellen sollten. Es ergibt nur dort wirklich Sinn, wo viele sensible Kundendaten übertragen werden müssen.

    Der wohl wichtigste Punkt ist dass ein SSL Zertifikat IMMER benutzt werden sollte wenn sensible Kundendaten übermittelt werden da alles andere unberechtigten Drittpersonen (Hacker) es erlauben würde in bestimmten Fällen diese Daten mitzuschneiden.

    Ausserdem ist ein SSL Zertifikat ein sehr zuverlässiger Indikator anzuzeigen ob die Website tatsächlich vom korrekten Betreiber ausgeliefert wird. Im Zusammenspiel mit anderen Konfigurationen ist es sogar möglich zu verhindern dass Man-In-The-Middle Attacks ausgeführt werden.

  4. Die Umstellung auf https ist in WordPress und mit Let’s Encrypt wirklich sehr simpel. Allerdings bin ich gespannt, wie sich das auf meinen Suchmaschinen-Traffic auswirkt. Alle Likes, RTs, 1+, etc sind nun weg und diese standen ja auch mal unter Verruf, positive Auswirkung auf die Positionierung zu haben.

    Es bleibt spannend! ;)

    Grüße
    Christian

  5. Muss die webseite/ onlineshop permanent auf die sichere seite geleitet werden um zu profitieren?

    • Hallo,

      bin mir nicht ganz sicher, ob ich deine Frage richtig verstehe. Du ersetzt mit dem HTTPS-Zertifikat einfach deine normale URL. Beispiel: aus http://deineseite.de wird dann https://deineseite.de. Zudem muss noch ein Eintrag in die .htaccess Datei, in dem eine 301 Weiterleitung von HTTP auf HTTPS stattfindet. Wenn das alles bömische Dörfer für dich sind, empfehle ich einen Experten zu engagieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.