Wie Sie eine Website von HTTP auf HTTPS umstellen

Der Wechsel der Website von HTTP zu HTTPS ist einer der wichtigsten Schritte für die Sicherheit Ihrer Website und das Vertrauen der Besucher. Google markiert HTTP-Websites in Chrome als "Not Secure", was Besucher abschreckt. Außerdem ist HTTPS ein Ranking-Faktor bei Google. Sehen Sie unseren detaillierten SEO-Leitfaden für weitere Informationen ab 2014. In diesem Leitfaden führen wir Sie Schritt für Schritt durch den gesamten Prozess.

Warum ist HTTPS wichtig

HTTPS (Hypertext Transfer Protocol Secure) verschlüsselt die Kommunikation zwischen dem Browser des Besuchers und Ihrem Server. Ohne HTTPS werden alle Informationen – einschließlich Passwörter, Kreditkartendaten und persönliche Daten – als Klartext gesendet, den jeder im Netzwerk lesen kann. Dies ist besonders gefährlich in öffentlichen WLAN-Netzwerken, wo ein Angreifer leicht unverschlüsselten Traffic abfangen kann.

Neben der Sicherheit beeinflusst HTTPS das Nutzervertrauen. Chrome zeigt ein Schloss-Symbol neben der URL für HTTPS-Websites und die Warnung "Not Secure" für HTTP-Websites an. Studien zufolge kaufen 85 % der Online-Käufer nicht auf einer Website, die kein HTTPS hat. Auch für Websites, die keine sensiblen Daten verarbeiten, ist HTTPS zum Standard geworden, den Nutzer erwarten.

Google verwendet HTTPS seit August 2014 als Ranking-Signal. Websites mit HTTPS haben einen kleinen, aber messbaren Vorteil in den Suchergebnissen gegenüber HTTP-Websites. Außerdem erfordern viele moderne Webtechnologien (HTTP/2, HTTP/3, Service Workers, Geolocation API) HTTPS, um zu funktionieren.

Schritt 1: SSL-Zertifikat erwerben

Das digitale Zertifikat zum Schutz der Web-Kommunikation ist ein Zertifikat, das eine HTTPS-Verbindung ermöglicht. Es gibt mehrere Arten von SSL-Zertifikaten. Das DV-Zertifikat (Domain Validation) ist das einfachste und am schnellsten zu erhaltende – es bestätigt nur den Besitz der Domain und wird in der Regel innerhalb weniger Minuten ausgestellt. Dies ist eine ausreichende Wahl für die meisten Websites.

Das OV-Zertifikat (Organization Validation) bestätigt zusätzlich die Identität der Organisation und erfordert die Verifizierung von Geschäftsdaten. Das EV-Zertifikat (Extended Validation) bietet das höchste Validierungsniveau und zeigt den Organisationsnamen in der Browser-Adressleiste an. OV- und EV-Zertifikate werden für E-Commerce-Websites und Finanzinstitute empfohlen.

Let's Encrypt bietet kostenlose DV-SSL-Zertifikate, die automatisch erneuert werden. BeoHosting beinhaltet kostenlose Let's Encrypt SSL-Zertifikate in allen Hosting-Plänen mit automatischer Installation und Erneuerung – Sie müssen nichts tun, SSL ist aktiv, sobald die Domain auf unseren Server propagiert wird. Für Unternehmen, die ein OV- oder EV-Zertifikat benötigen, bieten wir auch kommerzielle SSL-Zertifikate an.

Schritt 2: SSL-Zertifikat installieren

Wenn Sie BeoHosting verwenden, ist SSL bereits auf Ihrer Domain installiert und aktiv. Für andere Hostings hängt der Prozess vom Kontrollpanel ab. In cPanel gehen Sie zu SSL/TLS Manager, dann "Install and Manage SSL for your site". Wählen Sie die Domain, geben Sie das Zertifikat, den privaten Schlüssel und das CA-Bundle ein, klicken Sie dann auf Install.

Für Let's Encrypt in cPanel gehen Sie zu "Let's Encrypt SSL" oder "SSL/TLS Status" und klicken Sie auf "Issue" für Ihre Domain. Der Prozess ist automatisch, und das Zertifikat wird in wenigen Sekunden aktiv sein. Stellen Sie das Zertifikat unbedingt sowohl für die www- als auch die nicht-www-Version Ihrer Domain aus, damit beide Versionen abgedeckt sind.

Testen Sie nach der Installation, ob SSL korrekt funktioniert, indem Sie Ihre Website mit dem Präfix https:// öffnen. Sie sollten ein Schloss-Symbol in der Adressleiste ohne Warnungen sehen. Wenn Sie eine Warnung über eine unsichere Verbindung sehen, ist es möglich, dass das Zertifikat nicht korrekt installiert wurde oder ein Problem mit der Zertifikatskette besteht.

Schritt 3: Weiterleitungen einrichten

Nach der SSL-Installation müssen Sie den gesamten HTTP-Traffic auf HTTPS umleiten. Ohne Weiterleitung wird Ihre Website sowohl unter http:// als auch unter https:// zugänglich sein, was Duplicate-Content-Probleme für SEO verursacht. Außerdem werden Nutzer, die Ihre Domain ohne https://-Präfix eingeben, weiterhin die unsichere Version sehen.

Der häufigste Weg zur Weiterleitung ist über die .htaccess-Datei für Apache-Server. Fügen Sie den folgenden Code am Anfang der .htaccess-Datei hinzu: RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. Dies leitet alle HTTP-Anfragen permanent (301) auf die HTTPS-Version um und behält den ursprünglichen Pfad und die Parameter bei.

Für Nginx-Server fügen Sie einen Server-Block hinzu, der auf Port 80 lauscht und eine 301-Weiterleitung auf die https://-Version zurückgibt. Für den LiteSpeed-Server (den BeoHosting verwendet) funktionieren die .htaccess-Regeln genauso wie bei Apache. Verwenden Sie unbedingt 301 (permanent) und nicht 302 (temporär) Weiterleitung, damit Google den SEO-Wert korrekt auf die HTTPS-Version überträgt.

Für WordPress-Websites ändern Sie auch die WordPress Address und Site Address in Settings > General von http:// auf https://. Dies stellt sicher, dass WordPress alle internen Links mit HTTPS-Präfix generiert.

Schritt 4: Mixed Content beheben

Mixed Content ist das häufigste Problem nach dem Wechsel zu HTTPS. Es tritt auf, wenn eine HTTPS-Seite Ressourcen (Bilder, Skripte, Stile) über HTTP lädt. Der Browser blockiert oder warnt vor diesem gemischten Inhalt, da unverschlüsselte Ressourcen auf einer verschlüsselten Seite die Sicherheit von HTTPS untergraben.

Um Mixed Content zu finden, öffnen Sie Ihre Website in Chrome, drücken Sie F12 für Developer Tools und schauen Sie sich den Console-Tab an. Jedes Mixed-Content-Problem wird als Warnung oder Fehler mit der genauen URL der problematischen Ressource angezeigt. Ein Tool wie Why No Padlock (whynopadlock.com) kann auch Ihre Website nach Mixed-Content-Problemen scannen.

Für WordPress-Websites behebt das Plugin Really Simple SSL die meisten Mixed-Content-Probleme automatisch, indem es HTTP-Links in HTTPS ändert. Für die manuelle Lösung ändern Sie alle internen Links von http:// zu https:// im Website-Inhalt. Verwenden Sie das Search Replace DB-Tool oder das Better Search Replace WordPress-Plugin für die massenweise Ersetzung von http://ihreadresse.de durch https://ihreadresse.de in der Datenbank.

Für externe Ressourcen (Bilder von anderen Websites, Drittanbieter-Skripte) prüfen Sie, ob sie über HTTPS verfügbar sind. Die meisten modernen Dienste unterstützen HTTPS. Wenn eine externe Ressource nicht über HTTPS verfügbar ist, erwägen Sie, diese Ressource auf Ihrem Server zu hosten oder eine Alternative zu finden, die HTTPS unterstützt.

Schritt 5: Google Search Console aktualisieren

Google Search Console behandelt die HTTP- und HTTPS-Versionen Ihrer Website als verschiedene Properties. Nach dem Wechsel zu HTTPS müssen Sie in der Search Console eine neue Property für https://ihreadresse.de hinzufügen. Löschen Sie die alte HTTP-Property nicht – behalten Sie sie, um verfolgen zu können, wie Google zur HTTPS-Version übergeht.

In der neuen HTTPS-Property reichen Sie eine aktualisierte sitemap.xml ein, die HTTPS-URLs enthält. Prüfen Sie, ob die robots.txt auf der HTTPS-Version verfügbar ist und ob sie den Zugriff auf wichtige Seiten nicht blockiert. Verfolgen Sie den Coverage-Bericht in den folgenden Wochen, um zu sehen, ob Google erfolgreich die HTTPS-Versionen Ihrer Seiten indexiert.

Aktualisieren Sie auch Ihre Website in Google Analytics (ändern Sie die Standard-URL auf https://), Google Business Profile und allen anderen Diensten, in denen Ihre Website registriert ist. Aktualisieren Sie Links in sozialen Netzwerken und in der E-Mail-Signatur, damit sie die HTTPS-Version verwenden.

Schritt 6: Überprüfung und Tests

Nach Abschluss aller Schritte testen Sie die Website gründlich. Prüfen Sie, ob alle Seiten die HTTPS-Version laden. Testen Sie Weiterleitungen – geben Sie http://ihreadresse.de, http://www.ihreadresse.de, https://www.ihreadresse.de ein, und alles sollte Sie zu https://ihreadresse.de (oder zur www-Version, je nach Ihrer Präferenz) führen.

Verwenden Sie den SSL Labs-Test (ssllabs.com/ssltest), um die SSL-Zertifikatskonfiguration zu überprüfen. Das Ziel ist eine Bewertung von A oder A+. Dieser Test prüft die SSL/TLS-Protokollversion, die Verschlüsselungsstärke, die Zertifikatskette und potenzielle Schwachstellen. Wenn Sie eine Bewertung niedriger als A haben, folgen Sie den Verbesserungsempfehlungen.

Prüfen Sie, ob alle Formulare, Nutzer-Logins, E-Commerce-Funktionalitäten und interaktiven Elemente über HTTPS korrekt funktionieren. Testen Sie auf verschiedenen Browsern und Geräten. Verfolgen Sie die Google Search Console in den nächsten Wochen auf mögliche Fehler bei der Indexierung der HTTPS-Version.

Fazit

Der Wechsel von HTTP zu HTTPS ist ein wichtiger Schritt für die Sicherheit und das SEO Ihrer Website. Der Prozess erfordert Aufmerksamkeit für Details, kann aber mit dem richtigen Ansatz in wenigen Stunden abgeschlossen werden. Die Schlüsselschritte sind die Installation des SSL-Zertifikats, die Einrichtung von 301-Weiterleitungen, die Lösung von Mixed-Content-Problemen und die Aktualisierung der Search Console. Mit BeoHosting ist das SSL-Zertifikat kostenlos und automatisch installiert, was den komplexesten Schritt im Prozess eliminiert. Wenn Sie Hilfe beim Wechsel zu HTTPS benötigen, steht Ihnen unser Support-Team zur Verfügung.