Beim normalen Surfen macht eine HTTPS-Verbindung keinen großen Sicherheitsunterschied. Aber sobald deine Besucher ein Kontaktformular ausfüllen sollen, wird eine HTTPS-Verbindung zu Pflicht.

Denn die PIN deiner Scheckkarte würdest du auch nicht als Postkarte verschicken wollen, oder?

Und wenn du dein Passwort eingibst, um dich bei der Admin-Oberfläche deiner Webseite anzumelden, wird die unverschlüsselte Übertragung wirklich zur Sicherheitslücke.

Hast du eine Nachricht von Google bekommen, deine Webseite auf HTTPS umzustellen? Als Webmaster siehst du in der Google Search Console bestimmt Warnungen, dass deine Besucher bald damit konfrontiert werden, deine HTTP-Webseite sei unsicher.

Wie du HTTPS für deine eigene Webseite einrichtest, zeige ich dir hier Schritt-für-Schritt.

Was bedeutet HTTPS überhaupt?

Um zu erklären, was HTTPS bedeutet, muss ich etwas ausholen. Von früher kennst du vielleicht noch, dass du jede Internetadresse mit http://www in die Adresszeile deines Browser-Programms eingeben musstest.

Diese Zeiten sind vorbei, weil jeder moderne Browser diesen Adressteil automatisch ergänzt. Das gilt gleichermaßen für Internet Explorer, Chrome, Firefox, Safari und so weiter.

HTTPS steht als Abkürzung für Hypertext Transfer Protocol Secure, also sicheres Hypertext Übertragungsprotokoll. Darüber unterhält sich dein Browser mit meinem Webserver, wenn du eine Webseite ansehen willst.

Im Internet ist nichts sicher

Die ältere Variante HTTP funktioniert genauso, jedoch werden die Daten nicht verschlüsselt übertragen. Das heißt, jeder Computer zwischen deinem Browser und dem Webserver kann deine gesamte Kommunikation mitlesen.

Auf diesem Weg können sehr viele Computer eingebunden sein, wie dein WLAN-Router, jeder Netzwerkswitch deines Providers bis zur Server-Infrastruktur des Webseitenanbieters.

Außerdem könnte jeder Hacker deine WLAN-Verbindung knacken und dort die Daten verändern.

Gehen wir vereinfacht davon aus, dass im Internet nichts sicher ist. Und genau aus diesem Grund ist es wichtig, dass du sicher sein kannst beim richtigen Anbieter zu landen.

Schließlich willst du dein Passwort nur bei deiner Bank eingeben und nicht auf einem Hacker-Server, der sich als deine Bank ausgibt. Das stellen HTTPS-Zertifikate sicher, die noch nicht geknackt werden können.

HTTPS auf der Webseite einrichten

Wenn du deine Webseite auf HTTPS-Verschlüsselung umstellen möchtest, benötigst du also ein Sicherheitszertifikat. Mit den folgenden Schritten funktioniert die Einrichtung ohne großen Ausfall:

• Lege eine Sicherheitskopie an
• Besorge dir ein HTTPS-Zertifikat für deine Domain
• Installiere das HTTPS-Zertifikat auf deinem Webserver
• Behebe erste Umstellungsfehler
• Ändere die Links aller Bilder
• Stelle alle internen Links deines Seitentemplates auf HTTPS-Adressen um
• Ändere alle internen Links deiner Inhalte auf HTTPS-Adressen
• Stelle alle Kommentarlinks auf HTTPS um
• Ändere die globale Seiteneinstellung auf HTTPS
• Social-Media-Links, Metatags und Hreflang-Tag umstellen
• Ändere alle externen Links zu HTTPS
• Serverüberwachung und Cronjobs umstellen
• Letzter Schritt: HTTPS erzwingen
• HTTPS-Adresse in der Google Search Console anlegen
• Sitemap überprüfen

Bevor du mit der HTTPS-Umstellung beginnst, solltest du die aktuelle Version deiner Webseite überprüfen und alle Fehler beheben.

Überprüfe die Meldungen und Warnungen in der Google Search Console. Falls du deine Webseite noch nicht für die Search Console angemeldet hast, findest du hier eine Anleitung.

Um weitere Fehler zu finden, benutze ich einen externen Crawler wie ScreamingFrog. Diese Software funktioniert genauso wie die Google-Roboter, die deine Webseite automatisch nach Links durchforsten.

Lege eine Sicherheitskopie an

Vom jetzigen Stand deiner Webseite solltest du unbedingt eine Sicherheitskopie anlegen. So könntest du später auf diese Version zurücksetzen, falls bei deiner HTTPS-Umstellung etwas schief geht.

Sichere alle Dateien vom Webserver und erzeuge eine Sicherheitskopie deiner Datenbank, die du notfalls zurückspielen könntest. Für MySQL-Datenbanken gibt es WordPress-Tools wie BackWPup oder du erzeugst die Sicherung mit dem Datenbank-Befehl mysqldump:

mysqldump -host=[DB-Host] -user=[DB-User] -password=[DB-Passwort] [Datenbank] > dbdump.sql

Unterstützt deine Webhostingfirma HTTPS-Zertifikate?

Schaue in der Adminoberfläche deines Webhosters nach, wie du ein Zertifikat für deine Domain beantragen kannst.

Bei 1&1 funktioniert das zum Beispiel über die Menüpunkte: Control-Center - Meine Produkte - SSL-Zertifikate

Der Provider All-Inkl macht es noch einfacher und bietet kostenfreie Zertifikate von LetsEncrypt an. Dort installierst du das Zertifikat mit einem Mausklick in der Domainverwaltung.

Beantrage oder kaufe nun ein HTTPS-Zertifikat für deine Webseite.

Installiere das HTTPS-Zertifikat auf deinem Webserver

Zunächst solltest du die HTTPS-Einstellung optional machen. Das heißt, jeder der zufällig HTTPS verwendet benutzt die sichere Leitung. Alle normalen HTTP-Aufrufe bleiben zunächst ungesichert.

Erste Umstellungsfehler beheben

Nun rufst du deine Webseite über HTTPS auf und prüfst, ob dein Browser Fehlermeldungen anzeigt. Mit diesem ersten Test bekommst du einen sehr guten Überblick, welche Links und Ressourcen du noch auf HTTPS umstellen musst.

Solange noch irgendein Teil deiner Webseite über eine alte HTTP-Verbindung nachgeladen wird, wird das Schloss-Symbol im Browser nicht grün angezeigt. Einige Browser wie der Firefox zeigen detaillierte Fehlermeldungen an. Klicke dazu auf das HTTPS-Schloss in der Adresszeile des Browsers.

Ändere die Links aller Bilder

Eine der häufigsten Ursachen sind eingebaute Bilder, die noch mit HTTP verlinkt sind.

Auf der unsicheren Version deiner Webseite macht das keinen Unterschied. Über eine HTTPS-Verbindung, wird jeder HTTP-Aufruf als Sicherheitslücke gewertet.

Für WordPress-Webseiten kannst du alle Bilder-Links mit diesem SQL-Statement direkt in der Datenbank ändern:

UPDATE `wp_posts` SET post_content = REPLACE(post_content, 'src="http://www.djthorstenweber.de', 'src="https://www.djthorstenweber.de')
WHERE post_content LIKE ‚%src="http://www.djthorstenweber.de%';

Stelle alle internen Links deines Seitentemplates auf HTTPS-Adressen um

Gleiches gilt für Javascript- und CSS-Dateien. Dieser Programmcode wird in den meisten Fällen von Content-Management-Systemen wie WordPress oder Joomla in den Seitentemplates ausgeliefert.

Diese Javascript- und CSS-Dateien sorgen dafür, dass deine Webseite auf unterschiedlichen Endgeräten richtig angezeigt wird.

Falls du Fehler bei Javascript- und CSS-Dateien angezeigt bekommst, ist das Seitentemplate meist der richtige Ort, um diese Fehler an einer zentralen Stelle zu beheben.

Ändere alle internen Links deiner Inhalte auf HTTPS-Adressen

Die interne Verlinkung deiner Artikel hilft den Nutzern schnell zu anderen Unterseiten springen zu können. Weiter oben kannst du zum Beispiel auf Links klicken, die sich direkt zu Artikeln führen in denen ich meine WordPress-Plugins beschreibe.

Vor der HTTPS-Umstellung fing jeder Link mit der alten Internetadresse https://rewerb.com an. Um unnötige Umleitungen zu vermeiden, solltest du alle internen Links von http auf https ändern.

Am besten wäre, wenn du die Links gleich auf eine relative Verlinkung umstellst, dann hast du zukünftig weniger Probleme.

Für WordPress-Webseiten kannst du alle internen Links mit diesem SQL-Statement direkt in der Datenbank ändern:

UPDATE `wp_posts` SET post_content = REPLACE(post_content, ‚href="http://www.djthorstenweber.de', ‚href="https://www.djthorstenweber.de')
WHERE post_content LIKE ‚%href="http://www.djthorstenweber.de%';

Stelle alle Kommentarlinks auf HTTPS um

Hast du Kommentare auf deiner Webseite aktiviert? Dann hat bestimmt irgendwo per HTTP zu deiner eigenen Seite verlinkt.

Deshalb empfehle ich dir alle Kommentareinträge nach dem Begriff HTTP zu durchsuchen und Kommentarlinks auf HTTPS umzustellen.

Zum Beispiel hatte ich viele Bilder in meinen Kommentaren per HTTP eingebunden.

Für WordPress-Webseiten kannst du alle Links der Kommentare mit diesen SQL-Statements direkt in der Datenbank ändern:

UPDATE `wp_comments` SET comment_content = REPLACE(comment_content, ‚http://www.djthorstenweber.de', ‚https://www.djthorstenweber.de')
WHERE comment_content LIKE ‚%http://www.djthorstenweber.de%';

#Author-Links in Kommentaren aktualisieren
UPDATE `wp_comments` SET comment_author_url = REPLACE(comment_author_url, ‚http://www.djthorstenweber.de', ‚https://www.djthorstenweber.de')
WHERE comment_author_url LIKE ‚%http://www.djthorstenweber.de%';

Ändere die globale Seiteneinstellung auf HTTPS

So langsam nähern wir uns dem Ziel deine Webseite komplett auf HTTPS umzustellen.

Wenn du bis hierhin alle Fehler behoben hast, stellst du im nächsten Schritt deine Webseite an der zentralen Schaltstelle auf HTTPS um.

Bei WordPress-Seiten funktioniert das über die Admin-Oberfläche unter Einstellungen - Allgemein

Aber Achtung: Sobald du hier auf HTTPS umstellst, wird die Admin-Oberfläche neu geladen. Nun musst du dich erneut über die sichere Verbindung anmelden.

Im Head-Bereich deiner Webseite erzeugen moderne CMS-Systeme notwendige Kurzbeschreibungen, falls jemand deine Seite bei Facebook, Twitter oder Pinterest teilt. Alle diese Links müssen auf die HTTPS-Version deiner Webseite zeigen.

Für WordPress-Webseiten kannst du alle Links der Meta-Tags mit diesem SQL-Statement direkt in der Datenbank ändern:

UPDATE `wp_postmeta` SET `meta_value` = REPLACE(meta_value, ‚http://www.djthorstenweber.de', ‚https://www.djthorstenweber.de')
WHERE meta_value LIKE ‚%http://www.djthorstenweber.de%';

Ändere alle externen Links zu HTTPS

Bestimmt hast du von deinen Social-Media-Präsenzen bei Facebook, Youtube, Soundcloud, Mixcloud Links zurück auf deine Webseite gesetzt.

Diese Links musst du nicht sofort umstellen. Am besten planst du etwas Zeit ein, um alle Backlinks von Social-Media-Profilen in den nächsten Tagen und Wochen zu ändern.

Serverüberwachung und Cronjobs umstellen

Vergiss auch nicht die URLs bei alle externen Diensten wie deine Serverüberwachung oder Cronjobs umzustellen. Das ist bei allen URLs notwendig die deinen Webserver von extern aufrufen, testen und keine Umleitungen beherrschen.

Damit HTTP-Links nicht ins Leere laufen, kannst du die älteren Links direkt am Webserver umleiten. Je nach den technischen Möglichkeiten heißt das bei manchen Providern „HTTPS erzwingen" oder du richtest einen sogenannten „Redirect 301" ein.

Dazu schreibst du folgende zwei Zeilen in die .htaccess-Datei deines Webservers, wobei du den Domainnamen natürlich ändern musst:

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://www.djthorstenweber.de/%{REQUEST_URI} [L,R=301]

Wie 301er-Redirects genau funktionieren, beschreibe ich hier.

Letzter Schritt: HTTPS erzwingen

Dieser Redirect-Eintrag am Webserver ist gleichzeitig der letzte Schritt, um eine HTTPS-Verbindung für jeden Besucher zu erzwingen, egal über welches Internetprotokoll die Webseite aufgerufen wird.

Dein Webserver erkennt, dass jemand per HTTP ankommt. Und noch bevor Inhalte über die Leitung gehen, antwortet dein Webserver, dass der Browser eine HTTPS-Verbindung benutzen soll.

Sofort danach fragt jeder Browser die Seite über HTTPS an und bekommt deine Webseite ausgeliefert. Diese Umleitung funktioniert so schnell, dass du gar nichts davon bemerkst.

Genau darin liegt die Gefahr eventuelle Fehler zu verschleiern. Technisch funktioniert deine Webseite, auch die Nutzer bemerken die Umleitungen nicht. Die zusätzlich notwendigen Redirects können sich negativ auf deine Suchmaschinenoptimierung (SEO) auswirken.

Sitemap überprüfen

Mit der Sitemap stellt dein Webserver den Suchmaschinen eine technische Schnittstelle zur Verfügung. Die Sitemap funktioniert wie das Inhaltsverzeichnis eines Buchs, dort sind alle Internetadressen deiner Seiten aufgeführt.

Nach der HTTPS-Umstellung solltest du zwei Dinge unbedingt prüfen:

1. Sind innerhalb der Sitemap.xml-Datei alle Links auf HTTPS umgestellt?
2. Hast du die Internetadresse der Sitemap.xml in der Google Search Console auf https geändert?

Gegebenfalls musst du die Sitemap.xml über die Google Search Console neu einreichen.

Das wars auch schon. Herzlichen Glückwunsch zu deiner sicheren Webseite!

Auf HTTPS umstellen, ohne Google-Ranking zu verlieren

In den nächsten Wochen und Monaten wirst du bemerken, dass Google langsam den Suchindex anpasst. Dann rufen immer mehr Personen deine Webseite direkt über HTTPS auf.

In der Google Search Console solltest du die HTTPS-Variante als Web-Property hinzufügen.

Neuerdings lassen sich alle Varianten der Domainnamen zusammenfassen, mit oder ohne www sowie mit http oder https. Klicke dazu auf Satz erstellen und füge die unterschiedlichen Aufrufe zu einem Property-Satz zusammen.

Behalte unbedingt die Fehlermeldungen in der Search Console im Auge und kontrolliere deine Seitenstatistik am besten täglich. Dann kannst du schnell auf eventuelle Folgen der HTTPS-Umstellung reagieren und Fehler beheben.

Wie gut arbeitet deine Webhostingfirma?

Dein neues Server-Zertifikat kannst du kostenlos überprüfen lassen. Dazu bietet die Firma Qualys ein Testtool an, unter Ssllabs.com/ssltest/analyze.html

Für deine Webseite sollte ein grünes A angezeigt werden. Ansonsten würde ich das Prüfergebnis an den technischen Support deiner Webhostingfirma schicken.

Denn selbst bei den sicheren HTTPS-Verbindungen werden immer wieder Sicherheitslücken bekannt. Die kannst du in den meisten Fällen jedoch nicht selbst beheben, außer du benutzt einen Root-Server.

Schritt-für-Schritt auf HTTPS umstellen

Mit dieser Anleitung will ich dir alle Stolpersteine einer HTTPS-Umstellung erklären. Je älter und umfangreicher deine Webseite ist, desto mehr Sonderfälle wirst du erleben. Dafür brauchst du Zeit.

Die Arbeiten an deiner Webseite kannst du in mehrere Blöcke aufteilen. So habe ich es bei Rewerb.com gemacht.

Der Testbetrieb lief über einen Monat, ohne dass es einem Nutzer auffiel. Nur bei den letzten Schritten beim Seitentemplate und 301er-Redirects musste es schnell gehen.

Dagegen stellte ich die vergleichsweise kleine Webseite DJThorstenWeber.de mit wenigen SQL-Befehlen direkt in der Datenbank um.