Umstieg von HTTP auf HTTPS – Was muss beachtet werden?

Im Artikel Let’s Encrypt – Kostenlose SSL Verschlüsselung haben wir beschrieben, wie ein SSL-Zertifikat erstellt und eingebunden wird. Nun wollen wir uns mit den Folgen befassen, die eine Umstellung mit sich bringt und welche Nacharbeiten an der Webseite und am Webserver notwendig sind.

Duplicate Content vermeiden

Nach der Einrichtung eines SSL Zertifikates ist zunächst die Webseite sowohl verschlüsselt (https://) wie auch unverschlüsselt (http://) erreichbar. Somit gibt es jede Webseite für Suchmaschinen wie Google doppelt, was auch als duplicate content bezeichnet wird. Will man diesen vermeiden, sollte man alle unverschlüsselten Seitenaufrufe automatisch an die verschlüsselte Seiten weiterleiten.

Let’s encrypt fügt auf Wunsch automatisch bei der Konfiguration des SSL-Zertifikates in die Apache-VHost-Konfiguration eine 301 Weiterleitung  an. Sollte das aus bestimmten Gründen nicht möglich oder nicht gewünscht sein, kann man diesen Redirect nachträglich von Hand einrichten, indem man folgende Regel in die .htaccess oder direkt in die VHost-Konfiguration einfügt:

RewriteEngine on
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]

Somit bekommen alle Webseitenbesucher bei jedem Seitenaufruf eine sichere Verbindung angeboten.

HTTP:// Altlasten entfernen

Werden bei einer verschlüsselten Webseite unverschlüsselte Daten nachgeladen, wird dies bei den meisten Webbrowsern mit einer Warnung quittiert. Zum Beispiel passiert so etwas bei Grafiken, wenn sie absolut verlinkt werden.

Wird man mit einer wie auf dem Bild angezeigten Warnung konfrontiert, muss die Webseite von alten http:// Verlinkungen befreit werden.

Bei WordPress lässt sich dieses Problem relativ leicht lösen. Dazu muss im Backend unter Einstellungen > Allgemein die WordPress– und die Website-Adresse auf https:// umgestellt werden. Sollten anschließend immer noch unverschlüsselte Verlinkungen zu finden sein, können WordPress-Plugins, wie Realy Simple SSL, helfen diese zu fixen.

Es muss unbedingt darauf geachtet werden, dass alle externe Inhalte über HTTPS eingebunden werden. Dazu gehört zum Beispiel Bilder, Videos, aber auch Affiliate-Werbung.

Sollte das beworbene Partnerprogramm seine Werbemittel noch nicht via https:// ausliefern, muss entweder auf diesen Partner verzichtet, oder die Werbemittel lokal verwaltet werden. Für WordPress bietet sich dazu das Plugin moreAds SE an, welches als zusätzliches Feature noch einen Anti-AdBlock Schutz bietet.

Fazit

Bisher war vor allem für Online-Shops, Banken, Webdienste oder bestimmten Login-Bereichen einer Webseite, das SSL-Zertifikat ein Muss. Durch günstigere Anbieter von Zertifikaten und einfachere Techniken diese einzubauen, spricht nichts mehr dagegen seine Webseiten mit einem SSL Zertifikat verschlüsselt auszuliefern. Im Gegenteil – dies wird von den Suchmaschinen sogar mit besseren Rankings belohnt.

Related Posts

Leave a reply