Das Hypertext Transfer Protocol (http) ist ein seit den Anfängen des Internets eingesetztes Kommunikationsprotokoll zum übertragen und empfangen von Informationen über das Internet. Möchte man Daten abhörsicher übertragen, wird das HTTPS Protokoll (Hypertext Transfer Protocol Secure) eingesetzt. Dadurch wird die Kommunikation zwischen Webserver und Browser (Client) verschlüsselt.
Der Internetbenutzer selbst braucht auf seinem Rechner in der Regel keine spezielle Software installieren, weil das Protokoll bereits im Browser integriert ist. Es ist eine serverseitige Angelegenheit des Betreibers einer Webseite, dass beispielsweise ausschließlich HTTPS zugelassen wird, bzw. dass der Server das Protokoll unterstützt (hierfür wird eine SSL-Bibliothek wie OpenSSL benötigt). Ist dies der Fall wird eine HTTPS-Verbindung durch eine https-URL ausgewählt.
HTTPS verschlüsselt die Kommunikation
Bisher haben Webseitenbetreiber HTTPS nur dann eingesetzt, wenn sie eine Notwendigkeit darin sahen die Übertragung der Daten aus wichtigen Gründen zu verschlüsseln. Beispielsweise bei der Eingabe von Logindaten, bei der Tätigung von Bankgeschäften, bei der Durchführung von Online-Einkäufen etc. An dieser Stelle sei auch gleich einmal darauf hingewiesen, dass HTTPS-Verbindungen mit vorinstallierten Zertifikaten grundsätzlich keine absolute Sicherheit darstellen, was die verschlüsselte Übertragung der Daten betrifft.
HTTP vs HTTPS
Die nachfolgende Tabelle listet die wichtigsten Unterschiede zwischen HTTP und HTTPS auf.
| HTTP | HTTPS | |
| Sicherheit | unsicher, von jedem abhörbar | sicher dank verschlüsselter Übertragung (SSL) |
| URL-Schema | http:// | https:// |
| Port | Port 80 | Port 443 |
HTTPS seit August 2014 ein Ranking Faktor für Google
Vor allem aus Performancegründen war der Einsatz von HTTPS bei regulären Internetseiten oder Blogs bisher kein Thema. Auch waren die Zusatzkosten für SSL-Zertifikate für viele Webseitenbetreiber außerhalb der e-Commerce Szene ein Grund auf HTTPS zu verzichten, wenn dies nicht wirklich notwendig war. Dieser Zustand wird sich jedoch ändern und dem Einsatz des HTTPS Kommunikationsprotokoll wird zukünftig auch bei herkömmlichen Seiten mehr Bedeutung zukommen. Denn im August 2014 hat Google auf seinem Webmaster Blog einen Eintrag veröffentlicht dass HTTPS zukünftig als Ranking Faktor für die Suchergebnisse in Google eine Rolle spielen wird.
Steigende Anzahl der Seiten mit HTTPS
Immer mehr Seiten setzen bereits HTTPS ein. Laut einer Statistik von BuiltWith ist dies bereits bei mehr als 3.8% der Top 10,000 Webseiten der Fall. Hierbei ist Deutschland nach den USA auf Platz 2 vertreten, gefolgt von Großbritannien.
Google’s “Best Practices” für die Einrichtung von HTTPS
Damit eine Seite mit HTTPS von Google inidziert wird, sind ein paar von Google gemachte Voraussetzungen zu beachten:
- Man soll ein Zertifikat von einer zuverlässigen Zertifizierungsstelle erwerben.
- Das Zertifikat sollte einen 2048-bit Schlüssel nutzen (anstelle von 1.024 Bit).
- Das Zertifikat muss gültig sein. Abgelaufene Zertifikate sollten schnell erneuert werden.
- Die Indizierung der Seite sollte nicht über die robots.txt blockiert werden.
- Es empfiehlt sich relative URLs innerhalb der sicheren Domain verwenden.
- Man soll auf den “Noindex robots Meta Tag” verzichten, soweit möglich.
- Nutzer und Suchmaschinen sollten mittels 301-HTTP-Weiterleitung auf die HTTPS-Seite umgeleitet werden.
- Der verwendete Webserver sollte das HTTP Strict Transport Security (HSTS) unterstützen.
- Ist eine Seite sowohl über HTTP als auch HTTPS verfügbar, sollte man sicher stellen, dass die Inhalte identisch sind.
Sollte man umsteigen auf HTTPS?
Google empfiehlt den Einsatz von HTTPS, um die Kommunikation der Nutzer über die Website zu schützen. Wer bisher den meisten Traffic auf seiner Webseite Google zu verdanken hatte, und alles unternommen hat, damit er in den Google Suchergebnissen möglichst weit vorne steht, der wird wohl auch hier den Rat des Suchmaschinenanbieters befolgen und umsteigen auf HTTPS. Aktuell ist noch nicht ganz klar, wie sehr sich die Umstellung auf das Ranking tatsächlich auswirkt, da Google hierüber keine Angaben macht. Letztlich handelt es sich nur um einen weiteren Rankingaktor unter vielen. Was man bisher jedoch aus den ganzen Algorythmus-Umstellungen von Google mitnehmen konnte ist, dass Google Qualität auch mit positiven Ranking-Ergebnissen belohnt.
Viele große Unternehmen (Google selbst, Twitter, Facebook, Bing, Bundesamt für Sicherheit in der Informationstechnik, Deutsche Post, Xing etc.) machen es bereits vor und sind standardmäßig über HTTPS erreichbar. Die kleineren werden früher oder später ebenfalls nachziehen, insofern die kleinen technischen Hindernisse, die eine jetzige Einführung noch unmöglich machen, beseitigt sind.