Encryption lock icon

Chrome blendet Sicherheitswarnungen ein – So geht SSL Verschlüsselung

Wer den Hinweis bekommt, dass die eigene Website noch nicht verschlüsselt ist, sollte jetzt handeln. Denn ohne droht ein Imageschaden, Rankingverlust und Abmahnungen.

Hast du diese Meldung von der Google Search Console bekommen, dass im Chrome Browser unter deiner Website-Domain Sicherheitswarnungen eingeblendet werden?

Google Sicherheitswarnungen

Dann ist auf jeden Fall Handeln erforderlich. In der Mail steht entweder, dass deine Seite (bereits) mit einem Virus infiziert oder gehackt worden ist, oder „nur“ unsicher ist. Letztere Meldungen gehen in den letzten Tagen öfters raus, da Google ab Oktober unverschlüsselte Webseiten im Chrome Browser als „NICHT SICHER“ kennzeichnen wird. Der Chrome Browser ist aktuell der meistbenutzte Browser.

Was bedeutet das?

„NICHT SICHER“ bedeutet, dass die Datenverbindung deiner Seite unverschlüsselt ist. Du erkennst das daran, dass deine Domain mit einem http statt einem https beginnt. Wenn deine Webseite Formulardaten unverschlüsselt übermittelt, gehst du das Risiko von Rankingverlusten, Imageschäden und Abmahnrisiken ein. Und natürlich leidet die Sicherheit deiner Nutzer. Wichtig: Dies betrifft vor allem Webseiten, die über Formulare verfügen. Formulare werden beispielsweise hier eingesetzt:

  • Kontaktformulare
  • In Kommentarfunktionen
  • Bei Online Shops
  • In Live Chats

Falls du schon https benutzt und dennoch die Sicherheitsmeldung bekommst, solltest du zunächst die Verschlüsselung mit dem kostenlosen SSL Test von GlobalSign überprüfen. Außerdem empfehle ich dir den Malware Scan von Sucuri, um sicherzustellen, dass kein Virus oder Trojaner auf deiner Seite ist. Diese Scans solltest du spätestens nach erfolgreicher Verschlüsselung wiederholen.

Globalsign successfully encrypted url

Was muss ich tun?

Die Verschlüsselung deiner Website kannst du selber vornehmen, wenn du dich einigermaßen mit den Einstellungen deines Website Redaktionssystems (kurz: CMS) auskennst und idealerweise etwas HTML Programmierung verstehst. Ansonsten nimmt das am besten ein Profi vor. Der Ablauf ist folgendermaßen:

  1. Buchung eines SSL Zertifikats: Das SSL Zertifikat – eine Art Sicherheitscode, den du zur Verschlüsselung brauchst – kannst du direkt bei deinem Hoster buchen. Es gibt meist ein kostenloses Zertifikat (von Let’s Encrypt), ich empfehle aber die Investition in ein Domain SSL Zertifikat, das exakt auf deine Domain ausgestellt ist. Dieses kostet meist zwischen € 50,- und € 150,- im Jahr. Im Gegensatz zum Shared SSL Zertifikat, das meist auf deinen Hoster ausgestellt ist, wird das Domain SSL Zertifikat auf dich bzw. den Domaininhaber oder Administrator ausgestellt und somit sicherer, da du es dir nicht mit anderen Leuten teilen musst. Teilen mit anderen bedeutet auch immer, dass wenn eine andere Seite (unbefugt) entschlüsselt wird, deine höchstwahrscheinlich auch angegriffen wird, da dies dann kaum Mehraufwand bedeutet. Die Buchung des SSL Zertifikats ist so einfach wie eine Domainbestellung oder ein Online Shop Einkauf.
  2. Verschlüsselungseinstellung im CMS und ggf. HTML-Dateien: Alle Daten sollten per https übertragen werden. Dazu solltest du in den URL Einstellungen deines Website Redaktionssystems die Domainschreibweise von http://… auf https:// umstellen.

    Hier die SSL Anleitung für WordPress. Nutzt du ein anderes Redaktionssystem und weißt nicht, wo die Einstellungen sind, fragst du am besten deine Agentur oder deinen Administrator.
  3. Hinzufügen von Canonical-Tags zum Indexieren der verschlüsselten Seite: Zusätzlich zur verschlüsselten Verbindung empfehle ich ein „Canonical Tag“ einzusetzen. Dieses Meta Tag zeigt Suchmaschinen und Nutzern über den Quelltext deiner Seite, dass nur noch die verschlüsselten Links deiner Website indexiert werden sollten. Es kann manuell einprogrammiert oder über ein SEO Plugin wie unserem aktiviert werden.
  4. Einstellung der https-URL in Google Analytics: In Google Analytics gehst du unter Property-Einstellungen > Standard-URL. Dort änderst du die URL deiner Website auf die https-Variante.
    Google Analytics Verschlüsselung
  5. Überprüfung der Backlinks: Dann empfehle ich dir deine Verlinkungen zu prüfen und diejenigen Links, die von besonders wichtigen Quellen stammen zu ändern bzw. ändern zu lassen. Eine Liste deiner wichtigsten Backlinks erhältst du direkt über Google Analytics. Die wichtigsten umzuleitenden Links (also von der http auf die https-Variante) sind diejenigen, über die aktuell die meisten Besucher zu deiner Seite kommen. Du findest die Liste in Google Analytics unter Akquisition > Verweise.
    Analytics Verweise
    Sofern du die Links selber ändern kannst, mach das. In den meisten Web-Verzeichnissen und Social Media geht das, indem du einfach deine Website Adresse aktualisierst.
    Für andere Links, die du nicht selber ändern kannst, weil sie beispielsweise in Presseartikel enthalten sind, kannst du nur die jeweiligen Ansprechpartner um Änderung bitten (notfalls im Impressum nachschauen), allerdings sind hier die Chancen eher schlecht, dass die Leute in absehbarer Zeit deiner Bitte folgen. Deswegen kannst du die Links auch erstmal außer Acht lassen. Denn ein aufmerksamer Webmaster wird die Links früher oder später sowieso umstellen.
    Abgesehen davon solltest du diejenigen Links, die nicht in Analytics erscheinen aber die du bspw. vom Namen her für wichtig betrachtest, zusätzlich umleiten. Diese findest du über den Open Link Explorer oder über die Google Search Console.
  6. Zu guter Letzt fügst du in der Google Search ein neues Property hinzu:  Dazu öffnest du die Google Search Console und klickst rechts oben auf hinzufügen. Anschließend gibst du deine Domain mit dem https:// davor ein und klickst auf „Hinzufügen“.
    Google Search Console Domain hinzufügen
    Idealerweise wählst du auf der kommenden Seite unter „Alternative Methoden“ dann die Bestätigung deiner Domainverwaltungsrechte via Google Analytics aus. Alternativ kannst du die Domain auch anders bestätigen, zum Beispiel via Meta Tag im Quelltext der Seite oder über eine HTML Datei. Wichtig ist, dass du dies ggf. in Abstimmung mit deinem Administrator oder deiner Agentur machst. Falls noch jemand anderes Zugriffsrechte auf ein existierendes Konto hat, dann sollte er darüber informiert oder mit einbezogen werden. Nach der Bestätigung reichst du dann idealerweise deine neu generierte Sitemap (mit verschlüsselten URLs) ein.

Abschluss der Verschlüsselung

Abschließend bitte noch einmal die Verschlüsselung mit GlobalSign prüfen (siehe Link oben). Außerdem mal im Chrome Browser die Website aufrufen und links neben die Domain klicken:

Chrome verschlüsselte Website

Wenn in beiden Fällen alles passt, ist die Verschlüsselung erfolgreich.

Falls noch (einzelne) Dateien nicht verschlüsselt übertragen werden sollten, musst du deine Template/ Theme (programmiertes Design) und die Datenbank noch einmal überprüfen. Am besten dazu einfach mal alle Dateien und Tabellen nach http://deinedomain und http://www.deinedomain durchsuchen und dann die Links, die noch nicht auf https geändert sein sollten, ändern.

Zurück SEO Blog