HTTPS, SSL und SEO: Mit Sicherheit besser ranken [Update]

+++ Update 02. Mai 2017 +++

Google Chrome gab am 27. April 2017 auf dem Chromium Blog bekannt, dass seit Januar die Navigation von Usern auf HTTP-Seiten, auf denen Passwörter oder Kreditkartendate abgefragt werden, durch die Anzeige des Warnhinweises „nicht sicher“ (Englisch: „not secure“) um 23% abgenommen hat. Für die Zukunft plant Google ab der Chrome Version 62 auch außerhalb des Incognito-Modus' vor sämtlichen unverschlüsselten Seiten zu warnen, sobald Daten jeglicher Art vom User eingegeben werden.

+++ Update: 16. Dezember 2016 +++

Searchmetrics analysiert anhand der 10.000 meistgesuchten Suchbegriffe via Google.de jährlich die signifikantesten Ranking-Faktoren. In diesem Jahr hat es „HTTPS“ auf Platz 2 aller technischen Faktoren geschafft und ist damit wichtiger als beispielsweise die Seitenladezeit oder das Vorkommen der Heading-Tags (H1 und H2).

 +++ Update: 2. Dezember 2016 +++

Mit vorbildlicher Konsequenz handelt der mit einem Marktanteil von 58,8% weltweit führende Content-Management-System-Anbieter WordPress: Gründer Matt Mullenweg gab in einem Blogartikel bekannt, dass ab nächstem Jahr einige Änderungen in Kraft treten werden. So sollen seinen Angaben zufolge einige Features eingeführt werden, die nur für Webseiten nutzbar sind, die HTTPS unterstützen. Zudem werden jene Hoster künftig nicht mehr unterstützt und promotet, die keine standardmäßige SSL-Verschlüsselung anbieten.

 Warnhinweise des Google Chrome Browsers

Mit einem Anteil von 72,5% ist Google Chrome der meist verwendete Browser weltweit; Mozilla Firefox wird noch von ca. 16% genutzt. Aktuell werden in beiden Browsern unverschlüsselte Webseiten in der Adressleiste mit einem eingekreisten „i“ angezeigt. Beim Klick auf das Symbol erhält man den Hinweis, dass die „Verbindung nicht sicher ist“.

Ab Januar 2017 wird der Google Chrome-Browser in der Version 56 einen Warnhinweis herausgeben, sobald eine Webseite ohne SSL-Zertifikat die Eingabe sensibler Daten verlangt. Dies ist aber erst der Anfang: In naher Zukunft sollen Google-Chrome-Nutzer auch noch an anderen Stellen vor unverschlüsselten Webseiten gewarnt werden. Wie das konkret aussehen soll, ist derzeit noch nicht bekannt.

Das grüne Schloss als Zeichen für Sicherheit

Das grüne Schloss ist das Zeichen dafür, dass die Seite über ein SSL-Zertifikat verfügt und die Daten, die auf dieser Seite transferiert werden, verschlüsselt und damit vor der Einsicht und der Manipulation durch Dritte geschützt sind. Ob eine Webseite mit einem Protokoll verschlüsselt ist, kann aber nicht nur an dem Vorhängeschloss abgelesen werden, sondern auch an dem Kürzel HTTPS. Sollte mit einer Seite etwas nicht in Ordnung sein, so wird dies in der Browserleiste mit einem roten Dreieck angezeigt.

Große Erfolge der Initiative „HTTPS Everywhere“

Zwei Jahre nach dem Kick-Off der Sicherheitsoffensive stellen sich die ersten sichtbaren Erfolge ein. Im Oktober dieses Jahres wurde bekanntgegeben, dass inzwischen die Hälfte aller Webseiten mit einer SSL-Verschlüsselung ausgestattet sind.

Dies ergaben die ausgewerteten Telemetriedaten von Google und Mozilla Firefox. Der Transparenzbericht von Google legt offen, dass 49 der 100 meist besuchten Webseiten weltweit Ihren Onlineauftritt standardmäßig in HTTPS ausliefern, unter ihnen amazon.de, facebook.com und linkedin.com. Weitere 7 Webseitenbetreiber verwenden ebenfalls modernes HTTPS, aber noch nicht standardisiert, das heißt die zusätzliche Eingabe von HTTPS:// ist notwendig, um die verschlüsselte Seite besuchen zu können. 12 der Top 100 Webseiten arbeiten derzeit an einer vollständigen Verschlüsselung: Apple.com, ebay.com und bing.com schützen aktuell nur ihre Login-Bereiche mit einem Verschlüsselungsprotokoll. Amazonaws.com verwendet zwar Standard-HTTPS, leitet dazu jedoch auf eine Landingpage um. 

Global Player mit Nachholbedarf

Die Nachrichtenriesen cnn.com, forbes.com und dailymail.co.uk bilden das Negativbeispiel: Sie weisen aktuell keinerlei Verschlüsselung auf. Zu Google Chromes selbsterklärtem Ziel ist der Weg also noch weit. Besonders mittelständische Unternehmen haben Nachbesserungsbedarf. Der Anteil derjenigen, die eine SSL-Verschlüsselung verwenden, beläuft sich auf etwa 50%. Die Gründe für die zurückhaltende Nutzung eines Verschlüsselungsprotokolls sind häufig das Fehlen von Compliance-Regeln im Unternehmen sowie Anwenderprobleme der Mitarbeiter. Das grundsätzliche Gefahrenbewusstsein ist aber vorhanden: Etwa drei viertel der befragten Unternehmen verschlüsseln Daten bei der Speicherung auf ihren Storage-Systemen, fast zwei drittel haben Software zur Verschlüsselung von E-Mails im Einsatz. Die Nutzung ist also in weiten Teilen noch inkonsequent.

Wie SSL funktioniert

Wird eine SSL-verschlüsselte Webseite aufgerufen, so antwortet der angefragte Server zunächst mit einem Zertifikat. Mit diesem kann der User die Identität des Servers und die Gültigkeit der Verschlüsselung überprüfen. Die Verschlüsselung selbst erfolgt stets mit Hilfe des Public-Key-Verfahrens: Hierbei werden Daten mit einem öffentlichen Schlüssel codiert und können ausschließlich mit einem privaten Schlüssel wieder decodiert werden. Stimmen beide Schlüssel überein, so entsteht die Verbindung zwischen dem Browser und der aufgerufenen Seite.

Vorteile einer SSL-Verschlüsselung

Eine SSL-Verschlüsselung macht eine Unternehmensseite sicherer und stärkt das Vertrauen der Kunden in den aufgerufenen Onlineauftritt. Außer dem Kunden und dem Server kann schließlich kein Dritter die Kommunikation mitlesen oder manipulierend eingreifen. Das Verschlüsselungssymbol entspricht damit einem Qualitätssigel. User bleiben länger auf der aufgerufenen Seite und demzufolge sinkt die Absprungrate. Dies wirkt sich positiv auf die SEO-Visibility aus und führt zu einer besseren Platzierung in den Trefferlisten der Suchmaschinen. Google berücksichtigt die SSL-Verschlüsselung bereits seit 2014 als Ranking-Faktor. Mit einem Marktanteil von 92,45% unter den Suchmaschinen gibt Google damit klar den Kurs vor.

Ein weiterer Nutzen entsteht dem Webseitenbetreiber durch die steigende Datenqualität. Wechselt ein User von einer HTTPS-Seite auf eine unverschlüsselte Seite, so geht der Referrer verloren. Das heißt der Aufruf der Ausgangs-URL wird gelöscht und lediglich der Besuch der unverschlüsselten Seite wird als direkter Visit in Webanalyse-Tools wie Google Analytics gewertet. Wechselt man hingegen von einem verschlüsselten Onlineauftritt auf eine andere SSL-verschlüsselte Webseite, so bleibt der Referrer bestehen und die Datenqualität steigt. Die Implementierung eines SSL-Zertifikats bringt damit entscheidende Vorteile mit sich, die sich nicht von der Hand weisen lassen.