Google Chrome warnt vor unverschlüsselten Webseiten

Ab Juli 2018: Google Chrome warnt offensiv vor unverschlüsselten Webseiten

Google sind unsichere Webseiten bereits seit längerer Zeit ein Dorn im Auge. Es ist nicht lange her, da hat der Marktführer unter den Suchmaschinen Webmaster von unverschlüsselten Seiten in der Google Search Console direkt angeschrieben. Nun setzt Google HTTP-Webseiten noch stärker unter Druck. Wie die Google Managerin Emily Schlechter im Chromium Blog persönlich bekannt gab, wird Google alle Webseiten, die die Datenübertragung nicht per HTTPS verschlüsseln, offensiv als unsicher kennzeichnen.

Inhaltsverzeichnis

1. Google bestraft unsichere Webseiten

Die Einführung der Warnung ist mit Version 68 des Chrome-Browsers geplant, die im Juli 2018 erwartet wird. Die Kennzeichnung erfolgt in der Browserzeile direkt vor der URL. Bei Webseiten, die HTTPS nutzen, ist dort ein grünes Schloss und das Wort "Sicher" zu lesen. Bei HTTP-Seiten gibt es bisher nur einen Warnhinweis, wenn auf der Seite die Eingabe von persönlichen Daten, zum Beispiel eines Passworts, möglich ist. Ab Sommer spielt das keine Rolle mehr: Webseiten ohne SSL-Zertifikat werden generell mit dem Hinweis "Unsicher" versehen. Im Inkognito-Modus des Chrome-Browsers ist das schon heute Realität.

Das ist insofern bemerkenswert, weil ein solcher Gefahrenhinweis auf einen Teil der Besucher abschreckende Wirkung haben könnte. Insbesondere für Onlineshops und andere Webseiten, auf denen man Produkte erwerben oder Dienstleistungen buchen kann, könnte dies zu Umsatzeinbußen führen.

2. Mehrheit der Webseiten bereits verschlüsselt

Was dramatisch klingt, betrifft in Wahrheit gar nicht so viele Webmaster, wie man zunächst vermuten könnte. Mit der Ankündigung hat Google auch einige interessante Zahlen veröffentlicht, was die Verschlüsselung von Webseiten anbelangt:

  • Über 68 Prozent aller Verbindungen unter Android und Windows sind verschlüsselt.
  • Über 78 Prozent aller Verbindungen unter Chrome OS und Mac OS sind verschlüsselt.
  • 81 der 100 größten Webseiten im Web setzen schon standardmäßig auf HTTPS-Verbindungen.

Dass die Verschlüsselungsquote derzeitig schon jetzt relativ gut ist und der Trend unvermindert anhält, liegt nicht nur an den Warnhinweisen. Für viele Webseitenbetreiber dürfte deutlich bedeutsamer sein, dass die HTTPS-Verschlüsselung bereits seit geraumer Zeit ein Ranking-Faktor ist, der die Position in den Suchergebnissen verbessern kann. Trotzdem gibt es noch immer große Portale wie Spiegel Online, die komplett auf Verschlüsselung verzichten.

Google unterstützt Entwickler mit dem Werkzeug Lighthouse dabei, sogenannten Mixed Content ausfindig zu machen. Darunter versteht man beispielsweise Bilder und Scripte, die von nicht verschlüsselten Quellen stammen und eine eigentlich verschlüsselte Webseite auf diese Weise unsicher machen.

Bild eines Fahrstuhls

3. Verschlüsselung ist kein großer Aufwand mehr

Wie wichtig es Google ist, für mehr Sicherheit im World Wide Web zu sorgen, zeigt die Beteiligung an Let's Encrypt. Eine Initiative, die auch von Mozilla unterstützt wird. Die Zertifizierungsstelle vergibt seit Ende 2015 kostenlose SSL-Zertifikate, so dass der Kostenaspekt keine Ausrede mehr sein kann. Fast noch wichtiger aber ist, dass Let's Encrypt den Prozess der Zertifikatsvergabe automatisiert hat. Zuvor war dies eine händische und damit ziemlich aufwendige Angelegenheit. Erst seitdem ist die großflächige Verschlüsselung überhaupt möglich.

Auch Mittwald unterstützt die kostenlosen SSL-Zertifikate von Let's Encrypt – und zwar sowohl bei den Webhosting- als auch bei den Serverlösungen. Für Webseiten mit einem größeren Sicherheitsanspruch bieten wir kostenpflichtige Zertifikate ab nur 4,90 Euro* pro Monat, die beispielsweise eine Garantiesumme, Subdomains oder den eigenen Firmennamen in der grünen Adressleiste umfassen. Einrichtungsgebühren fallen nur bei den umfangreicheren Zertifikaten an, nicht jedoch bei den Basis-Versionen.

4. Das sollte bei der Umstellung von HTTP zu HTTPS beachtet werden

Die Beantragung und Installation von SSL-Zertifikaten ist heute kaum noch Arbeit. Um die Rankingvorteile einer verschlüsselten Webseite aber nicht gleich wieder zunichte zu machen, sollten Webmaster bei der Migration von HTTP zu HTTPS einige Dinge beachten. Am wichtigsten ist die Umleitung der HTTP-URLs auf die neuen HTTPS-URLs. Das geht am besten mit dem HTTP-Statuscode 301, der für eine permanente Weiterleitung steht und in der .htaccess-Datei geregelt wird.

Bestehende Weiterleitungen, die vor der Umstellung eingerichtet wurden, müssen angepasst werden. Das gilt gleichermaßen für evtl. gesetzte Canonical-Tags. Natürlich dürfen auch die internen Links nicht vergessen werden. Sie lassen sich am einfachsten durch die Funktion "Suchen und Ersetzen" im Editor der Wahl anpassen. Wer die Möglichkeit hat, auch auf externe Links Einfluss zu nehmen, sollte deren Änderung ebenfalls erbitten.

Ein häufiger Grund für Crawling-Fehler ist, dass der HTTPS-Zugriff für Suchmaschinen in der robots.txt gesperrt ist. Dies sollte geprüft werden. Außerdem muss sichergestellt werden, dass auch die robots.txt selbst über HTTPS aufrufbar ist und nicht mehr unter HTTP. Wird Google eine XML-Sitemap zur Verfügung gestellt, darf nicht versäumt werden auch hier die URLs anzupassen.

Ob das Crawling nach der Migration einwandfrei funktioniert, kann in der Google Search Console und den Bing Webmaster Tools nachgeprüft werden. Zahlreiche Online-Tools und Plugins für WordPress und andere Content Management Systeme können bei der Umstellung auf eine verschlüsselte Webseite behilflich sein. Wichtig ist auch, die standardmäßig eingesetzten Plugins nach Migration auf ihre Funktionsweise zu überprüfen.

Mann tippt am Laptop

5. Warum Webmaster jetzt handeln sollten

Google gibt mit seiner neuen Offensive für sichere Webseiten ganz klar zu verstehen, wie wichtig der Suchmaschine eine ordentliche Verschlüsselung ist. Nachdem zunächst nur HTTP-Webseiten als unsicher gekennzeichnet wurden, auf denen zum Beispiel die Eingabe von Passwörtern und Kreditkartendaten möglich war – später alle Webseiten mit Eingabefeldern – trifft es nun jeden Webseitenbetreiber. Auch Mozillas Firefox zeigt bei bestimmten Seiten bereits entsprechende Warnmeldungen an.

Eins ist klar: Die Bestrebungen von Google, möglichst alle Webseiten im Netz zu einer verschlüsselten Datenübertragung zu bewegen, werden weitergehen. Im schlimmsten Fall werden Seiten ohne SSL-Zertifikat irgendwann ganz aus dem Index verbannt. Bis andere Browser dem Vorbild von Chrome folgen, ist es nur eine Frage der Zeit. Webmaster, die sich bisher nicht um die Verschlüsselung gekümmert haben, sollten deshalb jetzt handeln und ihre Webseite zukunftssicher machen. Die Nutzung eines SSL-Zertifikats war nie einfacher und nachhaltiger als jetzt.

Wer die Umstellung gut plant und ein paar Dinge beachtet, muss keinen Rankingverlust befürchten. Ganz im Gegenteil: Google belohnt HTTPS-Webseiten mit einer besseren Position in den Suchergebnissen. Trotzdem kann es kurz nach der Migration zu kleineren Rankingschwankungen kommen, die vollkommen normal sind.

Was ist eigentlich HTTPS?

HTTP steht für "Hypertext Transfer Protocol", was übersetzt so viel wie "Hypertext-Übertragungsprotokoll" bedeutet. Dabei handelt es sich um ein zustandsloses Übertragungsprotokoll, mit dem vor allem Daten zwischen dem Rechner eines Internetnutzers und dem Server einer Webseite ausgetauscht werden. Webseiten, die aus besagtem Hypertext bestehen, werden vom Browser mittels HTTP aus dem World Wide Web geladen und dann angezeigt.

HTTPS baut auf dem Standardprotokoll auf und ist im Grunde nichts anderes als HTTP, das über eine sichere SSL- oder TLS-Verbindung übertragen wird. Dadurch wird sichergestellt, dass die zwischen Browser und Server übertragenen Daten nicht abgefangen und schon gar nicht genutzt (entschlüsselt) werden können. Ob eine Webseite HTTP oder HTTPS einsetzt, kann beispielsweise an der URL erkannt werden ("http://www." bzw. "https://www.").

Kommentare

  1. Gravatar
    Webdesign Magdeburg am
    Ich habe leider das große Problem, das mein Hoster zur Zeit kein SSL zur Verfügung stellt. Jetzt könnt man sagen ich solle doch einfach wechseln, das ist aber nicht so einfach, da ich dort gut 20 TLD mit Supdomains mit unterschiedlichen Laufzeiten zu liegen habe. Gibt es eine andere Möglichkeit für mich wie ich diese Situation ändern kann ?
    Antworten
    1. Jan Meyer am
      Hey Daniel,

      du kannst deine Domain bei uns als virtuelle Domain (A-record und ggf. mx-Record) eintragen. Nach Ende der Vertragslaufzeit kannst du die Domains dann bequem umziehen, auch wenn das Hosting bereits vorher bei uns ist.

      Weitere Fragen dazu beantwortet dir unser Support gerne unter +49-(0)-5772/293-100.

      Viele Grüße,
      Jan von Mittwald
      Antworten

Kommentar hinzufügen