01.09.2017

5 häufige Fehler bei der Umstellung auf HTTPS – und PROCEED als Lösung

Die vollständige Umstellung einer Webseite auf HTTPS ist umfangreich. PROCEED löst die bekannten Probleme.


Seit April 2017 warnt Google Chrome vor Webseiten, die keine SSL-Verschlüsselung vorweisen können, im Google Ranking wird die Verschlüsselung der eigenen Webseite mit einem Ranking-Vorteil belohnt und CMS-Anbieter WordPress wird im nächsten Jahr einige Features auf den Markt bringen, die nur für HTTPS-Webseiten nutzbar sein werden. Die Einbindung eines SSL-Zertifikats ist also ein absolutes Muss. Dass viele Webmaster die Umstellung auf HTTPS scheuen, liegt an einigen bekannten Implementierungsproblemen:

  1. Mixed Content und interne Links: Eine Webseite besteht aus einer Vielzahl an verschiedenen Elementen wie Bildern, die per absolutem Pfad in die Webseite eingebunden werden, internen und externen Links, Skripten und ähnlichem. Häufig wird genau das zur Crux bei der Umstellung der eigenen Seite auf HTTPS: Damit die Seite vollständig verschlüsselt und ohne Warnhinweis im Google Chrome Browser ausgeliefert wird, muss eine Webseite sämtliche Elemente – externe Links natürlich ausgenommen - verschlüsselt ausliefern. Im Fall interner Links ist zu beachten, dass diese nur auf HTTPS-Versionen verweisen dürfen. 
  2. Umleitung mit dem Status Code 301: Wurde die Webseite mit einem SSL-Zertifikat versehen, so muss auf diese Version umgeleitet werden. Zur Vermeidung von Duplicate Content ist es wichtig, eine SEO-freundliche Weiterleitung von HTTP auf HTTPS einzurichten. Dazu benötigt man einen Redirect mit dem Status Code 301. Der Suchmaschinenriese Google erlaubt bis zu fünf 301-Weiterleitungen, ohne die Webseite abzustrafen.
  3. Fehlende Umleitung von Canonicals auf die HTTPS-Version: Bei der Umstellung der eigenen Webseite auf HTTPS müssen alle Canonical-Seiten richtig umgeleitet werden. Dies ist besonders wichtig, um Ihr Ranking in den Suchmaschinen nicht zu gefährden. Bieten Sie dieselben Inhalte auf unterschiedlichen URLs (HTTP- und HTTPS-Version) an, so wird dies von Google als unzulässigen Versuch das Ranking zu beeinflussen gewertet und entsprechend sanktioniert. Ändern Sie deshalb das Protokoll in der Sitemap und hinterlegen Sie dort Ihre HTTPS-Version.
  4. Schwachstellen beim SSL-Zertifikat: Auch beim SSL-Zertifikat selbst liegt häufig der Fehler, der zur Anzeige eines Warnhinweises im Chrome-Browser führt: Vergessen Sie deshalb nicht, Ihr SSL-Zertifikat rechtzeitig zu verlängern ehe dies seine Gültigkeit verliert. Außerdem sollten Sie genau darauf achten, auf welche Domain das SSL-Zertifikat registriert wurde und ob Subdomains mitinbegriffen sind. Ein Multi-Domain-Zertifikat ist deshalb empfehlenswert. Des Weiteren ist die Zertifikats-Chain heute nicht mehr im Browser hinterlegt, sondern muss vom Server ausgeliefert werden. Wird dieser Faktor nicht berücksichtigt, so werden auch gültige Zertifikate häufig als „insecure“ gekennzeichnet.
  5. Fehlerquelle Server: Ein HSTS-Protokoll schützt vor Man-in-the-Middle Angriffen, indem Warnmeldungen vor einem ungültigen Zertifikat nicht übergangen werden können und lediglich via sicherem HTTPS mit dem Server kommuniziert werden kann. Viele Webseiten unterstützen diese relativ neue Technologie jedoch noch nicht. Ein weiteres Problem besteht häufig darin, dass die Sicherheitsprotokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) nicht auf die aktuellsten Versionen upgedatet wurden. Dies ist nicht nur hinsichtlich der SSL-Zertifikate wichtig, sondern auch für den Schutz vor Datendiebstahl.

Automatische Problemlösung mit PROCEED

In der Praxis weist die Einbindung von SSL-Zertifikaten einen geringen Automatisierungsgrad auf und bringt daher oben genannte Implementierungsschwierigkeiten mit sich. Auf Grundlage des Kundenfeedbacks zur Einrichtung von SSL-Zertifikaten entwickelte die InterNetX GmbH eine Gesamtlösung, die praktische Probleme bei der Umstellung vollautomatisch auflöst und darüber hinaus den übergeordneten Faktor der Webseitenperformance berücksichtigt. PROCEED schützt zudem den kompletten Kommunikationsweg – vom Client bis zum Origin-Server – durch HTTPS und VPN. Ein mögliches Einfallstor für Hackerangriffe wird damit geschlossen. Auch auf Content Management Systeme wie WordPress, Joomla oder TYPO3 wurde PROCEED abgestimmt. Der aufwendige Prozess vorab Plugins zu installieren, um die eigene Webseite mit einem Verschlüsselungsprotokoll zu versehen und vollständig in HTTPS auszuliefern, entfällt. PROCEED steht InterNetX Kunden über das InterNetX Server Administration Center (ISAC) kostenfrei zur Verfügung. Weitere Informationen finden Sie unter www.proceed.network.


comments powered by Disqus