Was Sie über den Wechsel von http zu https wissen müssen
Wenn Sie sensible Informationen sammeln oder Transaktionen online durchführen, sollten Sie den Wechsel von http zu https auf Ihrer Website planen.
Um herauszufinden, warum, lassen Sie uns mit einigen Definitionen beginnen:
Http (oder Hyper Text Transfer Protocol) ist die Methode, mit der Daten im Web bewegt werden. Sie können sehen, wie wichtig http für die Online-Welt ist, wenn Sie sich den Anfang einer beliebigen Webadresse ansehen.
Auf der positiven Seite ist http schnell und zuverlässig. Auf der Minusseite ist es so sicher wie ein Diamant auf einer Katzeneinbrecher-Tagung. Es gibt viele Möglichkeiten, sich in Daten einzuhacken, die über http übertragen werden, und während das für viele Online-Datenübertragungen (z.B. das Ansehen eines Videos, das Betrachten einer Website) kein Problem ist, ist es ein Problem, wenn Sie die Daten, die gesendet werden, schützen müssen.
Https (oder Hyper Text Transfer Protocol Secure) ist die Antwort auf das Datenschutzproblem. Https wird auf Websites verwendet, die eCommerce, Bankgeschäfte oder auch nur eine Anmeldeseite anbieten. Es schützt Daten, indem es sie verschlüsselt, bevor sie in die eine oder andere Richtung gesendet werden, indem es ein SSL-Zertifikat (Secure Sockets Layer) verwendet.
Ein SSL-Zertifikat enthält sowohl öffentliche als auch private Verschlüsselungsschlüssel, die lange Zeichenfolgen aus alphanumerischen Zeichen sind, die verwendet werden, um Daten auf eine Weise zu verschlüsseln, die sehr schwer zu knacken ist, was es ideal für den Schutz sensibler Daten macht.
Der Prozess des Wechsels von http zu https
Oberflächlich betrachtet ist der Wechsel von http zu https ziemlich einfach:
- Kaufen Sie ein SSL-Zertifikat,
- Installieren Sie Ihr SSL-Zertifikat auf dem Hosting-Account Ihrer Website,
- Stellen Sie sicher, dass alle Website-Links von http auf https geändert werden, damit sie nicht kaputt gehen, nachdem Sie den https-Schalter umgelegt haben, und
- Richten Sie 301-Weiterleitungen von HTTP zu HTTPS ein, damit Suchmaschinen über die Änderung der Adresse Ihrer Website informiert werden und damit jeder, der eine Seite auf Ihrer Website mit einem Lesezeichen versehen hat, automatisch auf die https-Adresse weitergeleitet wird, nachdem Sie den Schalter umgelegt haben.
Es ist einfach so einfach. Dank der überwältigenden Anzahl von Optionen, die von SSL-Zertifikat-Anbietern und Paketen von Hosting-Unternehmen angeboten werden, kann dieser einfache Prozess jedoch sehr verwirrend werden.
Die Situation wird nicht durch die Tatsache erleichtert, dass die Umstellung Ihrer Website von http auf https mehr Technik erfordert, als den meisten Kleinunternehmern lieb ist.
Deshalb werden wir in die obigen vier Schritte nur so tief eintauchen, wie es nötig ist, um die notwendigen geschäftlichen Entscheidungen zu treffen und die technischen Details auf einer grundlegenden Ebene zu verstehen.
Warum nicht tiefer in die Technik einsteigen? Aus einem guten Grund, der den gesamten Prozess der Umstellung von http auf https einfacher macht:
Ihre Hosting-Firma kann den größten Teil des Prozesses für Sie übernehmen
Wenn Sie bereits über die technische Erfahrung verfügen, die erforderlich ist, um Ihre Website von http auf https umzustellen, dann sollten Sie auf jeden Fall den gesamten Prozess von Anfang bis Ende übernehmen.
Viele Kleinunternehmer haben jedoch keine Erfahrung mit der technischen Seite dieses Prozesses. Wie Sie bald sehen werden, ist die Lernkurve auf der geschäftlichen Seite lang genug.
Als Inhaber eines kleinen Unternehmens müssen Sie in die geschäftlichen Entscheidungen einbezogen werden. Allerdings ist es vielleicht besser, wenn Sie die technische Seite von jemandem erledigen lassen, der weiß, was er tut – jemandem, dem Sie vertrauen können. Eine Option könnte Ihr Website-Hosting-Unternehmen sein.
Viele Hosting-Unternehmen bieten Pakete an, die ein SSL-Zertifikat, die Installation des von Ihnen ausgewählten Zertifikats und die Einrichtung der 301-Weiterleitung beinhalten. Damit bleibt Ihnen nur noch eine technische Aufgabe, nämlich die einfache Aufgabe, die Links Ihrer Website so zu ändern, dass sie auf https statt auf http zeigen.
Es mag Sie etwas mehr kosten, ein Paket zu kaufen. Die Zeit, die Sie sparen, und die Frustration, die Sie vermeiden, wenn Sie den technischen Teil des Prozesses Ihrem Hosting-Unternehmen überlassen, machen die Kosten jedoch mehr als wett.
Unten sehen Sie ein Beispiel für das https + SSL-Zertifikat-Angebot eines Hosting-Unternehmens (SiteGround). Hier sind ein paar Dinge zu beachten:
- Sie sollten sich immer mit Ihrem Webhosting-Unternehmen in Verbindung setzen, um sicherzustellen, dass Sie genau verstehen, was enthalten ist. Obwohl es nicht aufgeführt ist, bestätigte ein kurzer Online-Chat mit SiteGround, dass die Einrichtung von 301-Weiterleitungen in allen drei Paketen enthalten ist.
- Wie Sie sehen können, können Sie entweder ein SSL-Zertifikat verwenden, das vom Hosting-Unternehmen bereitgestellt wird, oder Sie können ein Zertifikat verwenden, das von einem separaten Anbieter gekauft wird. Dadurch ändert sich der Preis der einzelnen Pakete ein wenig (wie in der Zeile „Preis des anderen Anbieters“ angegeben).
Wie bereits erläutert, müssen Sie, auch wenn jemand die technische Seite übernimmt, die geschäftlichen Entscheidungen treffen und zumindest auf einer grundlegenden Ebene verstehen, was technisch erforderlich ist. Das ist das Thema des Restes dieses Beitrags.
Bereit für den Anfang? Dann los!
SSL-Zertifikat erwerben
Es gibt zwei Möglichkeiten, ein SSL-Zertifikat zu erwerben:
- Bei Ihrem Hosting-Unternehmen oder
- Bei einem SSL-Zertifikat-Anbieter.
Es ist zwar einfacher, das Zertifikat einfach bei Ihrem Hosting-Unternehmen zu kaufen (vor allem, wenn es Teil eines besonders günstigen Pakets ist), aber manchmal bieten diese nicht die Art von Zertifikat an, die Sie benötigen.
Ja, es gibt viele Arten von SSL-Zertifikaten und Sie sollten eines auf der Grundlage Ihrer geschäftlichen Anforderungen auswählen. Im Folgenden sind die verschiedenen Typen von SSL-Zertifikaten nach Validierungsstufe (wichtig für das Marketing) und dann nach dem Grad der Abdeckung gruppiert. Sie sollten ein Zertifikat auswählen, das Ihre Ziele in beiden Bereichen so gut wie möglich erfüllt.
SSL-Zertifikate nach Validierungsstufe
Wenn Sie Ihre Website auf https umstellen, wird diese Änderung in Ihrem Browser für die Besucher Ihrer Website sichtbar. Es gibt drei Validierungsstufen, von denen jede mehr Sicherheit für Ihre potenziellen Kunden bietet als die nächste. Deshalb ist die von Ihnen gewählte Validierungsstufe auch eine Marketing-Entscheidung.
Alle drei Stufen bewirken, dass in der Adressleiste eines Browsers ein geschlossenes Schloss erscheint, ein Hinweis darauf, dass die Verbindung mit Ihrer Website sicher ist. Darüber hinaus gibt es Unterschiede in den Informationen, die bei der Anzeige des Zertifikats in einem Browser und bei der höchsten Validierungsstufe auch in der Adressleiste des Browsers angezeigt werden. Sie können diese Unterschiede in den Bildern sehen, die in den Beschreibungen der einzelnen Validierungsstufen unten enthalten sind.
Zeit und Geld sind zwei weitere Faktoren, die Sie bei der Auswahl der Validierungsstufe Ihres Zertifikats berücksichtigen sollten: Je höher die Validierung, desto mehr Arbeit und desto länger dauert es, Ihr Zertifikat zu erhalten. Das liegt daran, dass jede Stufe mehr Validierung des Besitzers der Domain (d.h. Ihres Unternehmens) bietet als die Stufe davor. Es erfordert auch mehr Papierkram auf Ihrer Seite und mehr Überprüfung auf Seiten des Ausstellers. Außerdem kostet das SSL-Zertifikat umso mehr, je höher die Validierungsstufe ist
WICHTIGER HINWEIS: Der Umfang der tatsächlich gebotenen Datensicherheit ist bei allen drei Validierungsstufen gleich – die zusätzliche Validierung dient eher der Vertrauensbildung beim Kunden als alles andere.
Die drei Stufen der SSL-Zertifikatsvalidierung sind:
- Domainvalidierung – Die grundlegende Stufe der Validierung, domainvalidierte SSL-Zertifikate bewirken, dass ein Webbrowser ein geschlossenes Schlossbild neben der Website-Adresse anzeigt, das demonstriert, dass die Site sicher ist. Wenn Sie sich die Details dieses Zertifikatstyps in einem Browser ansehen, zeigt der Abschnitt „Subject Name“ die grundlegendsten Informationen an (siehe unten). Er sagt einem potenziellen Kunden, dass diese Domain sicher ist. Aber es wird nicht erwähnt, welches Unternehmen die Domain gesichert hat. Und das Fehlen eines Firmennamens kann ein Vertrauensproblem bei potenziellen Kunden darstellen. Es kann zum Beispiel zu Situationen führen, in denen jemand eine betrügerische Domain einrichtet (z.B. „robowhos.com“ statt „robowhois.com“) und sensible Daten von denjenigen erbeutet, die auf die List hereinfallen.
- Organisationsvalidierung (a.auch bekannt als Unternehmensvalidierung) – Wenn Sie ein SSL-Zertifikat mit dieser zweiten Validierungsstufe erhalten, bestätigt der Aussteller die Tatsache, dass das Unternehmen, das das Zertifikat beantragt, tatsächlich die Rechte an der Domain besitzt, für die das Zertifikat ausgestellt wird. Wie Sie unten sehen können, werden bei der Anzeige dieser Art von Zertifikat in einem Browser im Abschnitt „Subject Name“ mehr Details angezeigt – einschließlich des Firmennamens. Diese zusätzliche Detailstufe bietet potenziellen Kunden die Gewissheit, dass die Website legitim und sicher ist, um mit ihr Geschäfte zu machen.
- Extended Validation – Extended SSL-Zertifikate bieten die höchste Sicherheitsstufe, dass eine Website legitim und vertrauenswürdig ist, um mit ihr Geschäfte zu machen. Wie Sie unten sehen können, gibt es nicht nur mehr Informationen im Abschnitt „Subject Name“, sondern der Name des Unternehmens wird auch direkt in der Adressleiste des Browsers angezeigt (in einigen Browsern wird sogar die gesamte Adressleiste grün, wenn die Website aufgerufen wird). Ein erweitertes SSL-Zertifikat verkündet, dass das Unternehmen die Rechte an dieser Domain besitzt und die strengen Prüfstandards erfüllt, die notwendig sind, um diese Stufe der Validierung zu erhalten. Das ist gutes Marketing!
SSL-Zertifikate nach Abdeckungsgrad
Eine weitere Möglichkeit, SSL-Zertifikate zu gruppieren, ist der Abdeckungsgrad, den sie unterstützen. Die drei Stufen der SSL-Zertifikatsabdeckung sind:
- Single Domain SSL-Zertifikate – Diese Art von SSL-Zertifikat deckt eine Domain und nur eine Domain ab. Zum Beispiel können Sie ein Single Domain SSL-Zertifikat verwenden, um mysmallbusiness.com zu sichern, aber nicht support.mysmallbusiness.com.
- Wildcard Domain SSL-Zertifikate – Diese Art von SSL-Zertifikat deckt eine Domain und alle Subdomains unterhalb dieser Domain ab. Zum Beispiel können Sie ein Wildcard-Domain-SSL-Zertifikat verwenden, um mysmallbusiness.com und support.mysmallbusiness.com und jede andere Subdomain zu sichern.
- Multi-Domain-SSL-Zertifikate – Dieser Typ von SSL-Zertifikaten kann verwendet werden, um mehrere Domains abzudecken. Sie können zum Beispiel ein Multi-Domain-SSL-Zertifikat verwenden, um sowohl mysmallbusiness.com als auch eine beliebige andere Domain zu sichern, z. B. myothersmallbusiness.com.
Installation Ihres SSL-Zertifikats
Zur Installation Ihres SSL-Zertifikats auf Ihrer Website müssen Sie sowohl öffentliche als auch private Verschlüsselungsschlüssel generieren und sie an der richtigen Stelle in Ihrem Webhosting-Control-Panel eingeben.
Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, haben Sie zwei Möglichkeiten:
- Überlassen Sie es Ihrem Hosting-Provider, dies für Sie zu tun.
- Suchen Sie im Support-Bereich Ihres Hosting-Providers nach einer Schritt-für-Schritt-Anleitung. Wenn Sie keine finden, greifen Sie einfach zum Telefon und rufen Sie die Support-Hotline an.
Suchmaschinen-Optimierung? Ja, Suchmaschinenoptimierung
Bereits im Sommer 2014 kündigte Google an, dass es eine kleine Änderung an seinem Algorithmus vornimmt, um Websites zu stärken, die https verwenden. Die Suchmaschine deutete auch an, dass die Bedeutung von https für das Suchranking im Laufe der Zeit langsam wachsen könnte.
Während Unternehmen mit https keine großen Steigerungen des Suchrankings bei Google erlebt haben, ist es nie klug, den Suchgiganten zu ignorieren. Was bedeutet das, wenn Sie von http auf https umsteigen?
Anstatt https nur für sensible Teile Ihrer Website zu verwenden, sollten Sie einfach weitermachen und https für Ihre gesamte Website nutzen. Dies hat keinerlei Auswirkungen auf die Zugänglichkeit oder Leistung und ist eine gute Möglichkeit, sich gegen zukünftige Änderungen des Google-Algorithmus abzusichern.
Links auf Ihrer Website ändern
Die Änderung des Textes „http“ in „https“ in allen Ihren Links, die auf andere Teile Ihrer eigenen Website verweisen, ist wahrscheinlich die einzige technische Aufgabe, die Sie selbst erledigen müssen.
Wenn Sie keine relativen Links verwenden (partielle Links, die nur einen Teil der gesamten URL einer Seite verwenden, wie z. B. „/2015/03/update-wordpress.html“), müssen Sie den gesamten Inhalt Ihrer Website überprüfen, um Links zu finden, die auf andere Teile Ihrer eigenen Website zeigen. Nutzen Sie diese Gelegenheit, um auf relative Links umzusteigen, anstatt einfach „http“ durch „https“ zu ersetzen.
Wenn Sie ein Content-Management-System wie WordPress verwenden, stellen Sie sicher, dass Sie die Permalinks auf https umstellen.
Einrichten von 301-Weiterleitungen
Wie bereits erwähnt, weisen 301-Weiterleitungen sowohl Suchmaschinen darauf hin, dass sich die Adressen Ihrer Website geändert haben, als auch jeden, der eine Seite auf Ihrer Website mit einem Lesezeichen versehen hat, automatisch auf die neue https-Adresse umleiten.
Es ist wahrscheinlich, dass Ihr Hosting-Unternehmen diese Änderung für Sie vornimmt (vergessen Sie nicht zu fragen, ob es Teil ihres Pakets ist), aber wenn Sie es selbst machen wollen, müssen Sie die .htaccess-Datei in Ihrem Stammverzeichnis bearbeiten, indem Sie Folgendes hinzufügen:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Fazit
Wenn es eine Garantie für die Umstellung von http auf https gibt, dann die, dass Sie irgendwann während des Prozesses verwirrt sein werden.
Wenn Sie die meiste technische Arbeit vermeiden und sich auf die geschäftlichen Entscheidungen konzentrieren können, die Sie treffen müssen, werden Sie Vorteile ernten. Zu diesen Vorteilen gehören ein größeres Kundenvertrauen, eine superdichte Datensicherheit und sogar eine kleine Chance, dass Google Ihre Website höher einstuft.
Secure Site Photo via