http und https – Darum von http auf https umleiten!

Http oder https? Wer seine Webseite nicht von http auf https umgestellt hat, verliert Seitenbesucher und killt seine Conversion-Rate. Denn seit Oktober 2017 gibt Google Chrome, also der am meisten genutzte Browser, eine Warnung aus wenn man eine Webseite ohne SSL-Zertifikat besucht, also ohne https-Protokoll nutzt. Eventuell fehlt aber nur eine Weiterleitung auf https und man hat bereits ein Zertifikat. In diesem Artikel erfährst du was bzgl. SSLZertifikat zu tun ist!

Nutzt du http oder https?

Die Standardeinstellung bei den meisten Hostern für die verwalteten Websites ist auch heute noch das unsichere http-Protokoll. Du musst https ausdrücklich aktivieren und meistens auch die richtigen Regeln für eine Weiterleitung selber definieren oder zumindest das richtige Häkchen setzen.

So kannst du schnell überprüfen, ob für deine Website Handlungsbedarf in Bezug auf https bzw. das SSL-Zertifikat besteht:

• rufe die Startseite deiner Website auf
• klicke in die URL in der Adressleiste des Browsers

• sollte dort https vorangestellt sein sieht es gut aus
• ändere https zu http ab und drücke Enter
• wenn die URL weitergeleitet wird und dann mit https beginnt, brauchst du vermutlich nichts weiter tun

• sollte dort http vorangestellt sein sieht es nicht gut aus
• ändere http zu https ab und drücke Enter
• wenn die Seite mit https aufgerufen wird ist https zumindest aktiv, aber die Weiterleitung von http aus fehlt
• lädt die Seite gar nicht mehr und kommt ein Fehler dann ist https gar nicht aktiv

Was ist zu tun für https?

Je nachdem wie das Ergebnis des Tests ausgefallen ist sind verschiedene Schritte nötig um Abhilfe zu schaffen und einen einheitlichen Aufruf mit SSL-Zertifikat über https zu sorgen:

Umleitung von http zu https fehlt?

Je nach Hoster kann man die Umleitung von http auf https entweder per Klick aktivieren oder muss z. B. bei einem Apache-Webserver die .htaccess-Datei der entsprechenden Webseite anpassen. Dafür ist z. B. solch eine Regel nötig:

Hier muss man die eigene Domain einfügen und noch entscheiden ob man standardmäßig die Webseite mit www-Subdomain angezeigt haben möchte oder nicht.

Achtung: Je nachdem wie die Webseite realisiert wurde ist eventuell für jeden Aufruf aufgrund der internen Verlinkungen, z. B. bei WordPress, noch eine Anpassung jeder URL in der Datenbank nötig. Denn dort sind die Links vermutlich nicht mit https sondern nur mit http hinterlegt!

Https funktioniert gar nicht – kein SSL-Zertifikat?

Wenn dein Hoster „Let’s Encrypt“ anbietet hast du großes Glück. Dann kannst du kostenlose SSL-Zertifikate nutzen. Wenn nicht, ist es vermutlich am günstigsten zu einem Hoster zu wechseln, der „Let’s Encrypt“ integriert hat.

„Let’s Encrypt“ hat die Zertifikatsbranche vor einigen Jahren auf den Kopf gestellt. Die Zertifikate sind nicht nur kostenlos, man kann sie sogar automatisiert erneuern lassen. Insbesondere wenn man mehr als nur ein paar Webseiten hat ist dies besonders zu empfehlen.

Achtung: Je nachdem wie die Webseite realisiert wurde ist nun sehr wahrscheinlich für jeden Aufruf aufgrund der internen Verlinkungen, z. B. bei WordPress, noch eine Anpassung jeder URL in der Datenbank nötig. Denn dort sind die Links vermutlich nicht mit https sondern nur mit http hinterlegt!

Warum https nutzen?

Https ist das „sichere“ Website-Protokoll, dafür steht das angehangene „S“. Nicht nur weil Google Chrome und auch andere Browser Seiten abstrafen die kein https nutzen kann es sogar rechtlich nötig sein dies zu tun. Wenn du auf deiner Seite ein Kontaktformular anbietest oder auf andere Weise vertrauliche Daten übertragen werden, ist es laut DSGVO vorgesehen dass dies verschlüsselt sein muss.

Davon abgesehen macht es auch einfach einen seriöseren Eindruck wenn die Webseite https nutzt. Ansonsten gehen einem viele Kunden durch die Lappen, die vermutlich abspringen wenn sie die Warnmeldung von Chrome bekommen. Insbesondere bei einem Shop dürfte dies den Umsatz wohl drastisch schmälern.