Google hat auf seiner jährlich stattfindenden Entwicklerkonferenz „Google I/O“ im Juni 2014 die Parole „HTTPS everywhere“ ausgegeben und seine neue Sicherheitsstrategie vorgestellt. Danach sollen Webseiten mit „https“ künftig besser als Seiten mit „http“ ranken. Das SSL-2048-Schlüsselzertifikat verspricht demnach eine bessere Platzierung in den Suchergebnissen. Doch wodurch unterscheiden sich https-Seiten von solchen ohne SSL-Zertifikat und welches Gewicht wird dieser spezielle Ranking-Faktor in Zukunft haben?
Seitenbetreiber, die nun glauben, durch Nutzung des sicheren https-Protokolls in Nullkommanichts ihr Seitenranking bei Google verbessern zu können, werden sicherlich enttäuscht sein, denn das Ranking-Signal ist zurzeit noch schwach. Google hat mit seiner Ankündigung „HTTPS as a ranking signal“ (http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-signal.html) in seinem zentralen Webmaster-Blogpost am 6. August 2014 zugleich klargestellt, dass durch Bevorzugung einer sicheren SSL-Verschlüsselung der Website die anderen Ranking-Faktoren keineswegs an Gewicht verlieren. Im Klartext: Spam-Seiten und Seiten mit schlechten Inhalten werden durch den neuen Ranking-Faktor ihre Position nicht verbessern können. Es geht also einzig um die Seiten, die die üblichen Ranking-Kriterien wie guter Content, nutzerfreundliche Seitengestaltung und natürliche Linkstrukturen bereits erfüllen. Google zufolge sind User gut beraten, wenn sie ihre Seiten alsbald umstellen. Zwar ist die Signalstärke fürs Ranking derzeit noch schwach, sie wird aber zunehmen. Die Umstellung ist mit größerem Aufwand verbunden, weil nicht nur sämtliche Haupt- und Unterseiten „umziehen“, sondern auch alle Ressourcen wie Bilder und Skripte anzupassen sind, bevor die Seite auf „https“ umziehen kann. Deshalb möchte Google den Webmastern ausreichend Zeit geben, um von http nach https zu wechseln.
SSL-verschlüsselte Seiten für mehr Sicherheit im Web
Immer mehr Unternehmen setzen auf verschlüsselte Seiten, weil Sie nach den jüngsten NSA-Enthüllungen und Hackerangriffen einen Imageverlust und letztendlich Umsatzeinbußen befürchten. Nachdem die Heartbleed-Sicherheitslücke geschlossen wurde, ist das Vertrauen in SSL-Zertifikate wieder gewachsen und Nutzer achten mehr denn je auf die Sicherheit von Internetverbindungen.
Auch wenn HTTPS-Seiten in letzter Konsequenz keinen hundertprozentigen Schutz bieten können, ist die Sicherheit bei der Übertragung um ein Vielfaches höher als bei Standardseiten, die über das einfache Hypertext-Transfer-Protokoll (http) laufen. Das „s“ hinter „http“ steht für „secure“ also für sicher. Während Banken beim Online-Banking ausschließlich auf die gesicherten Verbindungen setzen, nutzen viele andere E-Commerce-Anbieter die sichere Verschlüsselung erst in jüngerer Zeit verstärkt. Die Zeiten als Internetverbindungen hauptsächlich über verkabelte Festnetzverbindungen aufgebaut wurden, sind definitiv vorbei. Heutzutage gehen die meisten Heimanwender über WLAN drahtlos ins Internet und die Zahl der mobilen Internetnutzer wächst beständig. Doch genau die drahtlosen Schnittstellen, an denen Daten per Funk übertragen werden, sind anfällig für Hackerangriffe und Ausspähungen. Sicherheitskritische Daten wie Bankdaten und Passwörter sind bei unverschlüsselter Übertragung per Funk ungeschützt und bieten Cyberkriminellen ein leichtes Angriffsziel.
Sicherheit geht Google über alles
Als Kopf des Webspam-Teams von Google kündigte Matt Cutts schon im März 2014 auf der Search Marketing Expo in San José die Einführung von SSL als Ranking-Faktor an. Mit der offiziellen Vorstellung der Kampagne „HTTPS everywhere“ auf der Entwicklerkonferenz Google I/O im Sommer desselben Jahres ist dies nun offiziell. Hierzu ist anzumerken, dass Sicherheit von Webseiten und Datenschutz schon immer ein Thema war, auf das der Suchmaschinengigant großen Wert legte. Damit es keine Überraschungen gibt, hat Google auf seiner Support-Seite (https://support.google.com/webmasters/answer/83105?hl=en) das Wichtigste zusammengefasst, was beim Aufsetzen einer Seite in einer neuen, sicheren Umgebung zu beachten ist. Hintergrund ist die Sorge vieler Webmaster, der Traffic könnte allzu sehr unter dieser Maßnahme leiden, weil viele Verlinkungen und Lesezeichen auf die alte Umgebung verweisen und Nutzer beim Aufruf Fehlermeldungen erhalten beziehungsweise die Seite nicht mehr finden, wenn die alte Hosting-Umgebung plötzlich abgeschaltet wird. Daher ist die Schritt-für-Schritt-Anleitung für den Umzug einer Seite in eine neue Hosting-Umgebung, die Google den Webmastern hier mitgibt, äußerst hilfreich.
Was Google empfiehlt
Obwohl das Ranking-Signal „https“ noch schwach ist, gibt Google schon jetzt Empfehlungen für die Zukunft. Unter anderem sollen Webmaster
- sichere 2048-bit Schlüsselzertifikate auf dem Server verwenden
- relative URLs für Ressourcen auf der gleichen sicheren Domain verwenden
- Protokoll-relative URLs für andere Domains nutzen
- Seiten nicht für die Crawler durch Einsatz von robots.txt blockieren
- die Indexierung von Seiten ermöglichen und noindex-Metatags vermeiden
- die Google-Webmasterguidelines regelmäßig checken, um aktuelle Tipps für die Änderung von Adressen erhalten.
Vor der Umstellung ist die Gültigkeitsdauer der Seite herabzusetzen
Viele werden sich natürlich jetzt fragen, wie sich dieser neue Ranking-Faktor auf die Position in den Suchergebnissen auswirken wird und ob der Algorithmus überhaupt erkennt, dass es sich nicht um eine komplett neue Seite handelt, sondern eine bestehende, die vielleicht schon ganz gut rankt, deren Adresse nun aber in einem anderen Gewand erscheint. Wichtig ist vor allem, dass das „Gültigkeitsdauer-Attribut“ TTL optimal gesetzt wird. Häufig ist es auf einen langen Zeitraum eingestellt. Eine Woche, bevor die Seite „umzieht“, also mit „https“ aufgesetzt wird, sollte der Wert reduziert werden. So kommen Besucher schneller auf die Seite und müssen sich nicht mit Fehlermeldungen etc. rumärgern. Ein Verfahren, das generell bei Adressänderungen zu empfehlen ist. Google selbst geht mit gutem Beispiel voran und bietet die Google-Suche, Webmaster-Tools und andere Dienste nur noch mit sicherer SSL-Verschlüsselung, also unter „https“ an. Google nimmt seine Empfehlungen somit selber sehr genau.
Was für eine baldige Umstellung auf HTTPS spricht
Angesichts der jüngsten Hackerangriffe ist die SSL-verschlüsselte Übertragung eine wichtige Maßnahme von Webseitenanbietern, um das Vertrauen von Besuchern zu stärken. Vor allem Onlineshops, die mit sensiblen Kundendaten hantieren, profitieren auf jeden Fall davon, denn die Kunden achten inzwischen verstärkt darauf, ob ihre Daten sicher übertragen werden. Von daher wird die Bereitschaft der Nutzer abnehmen, Kreditkartendaten, Bankverbindungen und Passwörter, ja noch nicht einmal Telefonnummern über nicht sichere „http-Seiten“ ins Netz zu schicken.
Ganz bewusst hat Google das Rankingsignal noch sehr schwach gewichtet, um Seitenbetreibern ausreichend Zeit für eine Umstellung zu geben. Diese Zeit sollten sie nutzen, weil bereits durchgesickert ist, dass Trust-Signale im Ranking-Algorithmus künftig noch stärker gewichtet werden sollen.
Mögliche Nachteile einer Umstellung auf HTTPS
Nicht alle SEOs sind begeistert von Googles Vorstoß zu TLS-verschlüsselten Verbindungen. Zunächst ist einmal zu bemängeln, dass Google nicht genau ausführt, inwiefern sich die Maßnahme positiv auf das Ranking auswirkt. Die Aussage, dass das Signal zurzeit noch schwach ist, später aber einmal stärker gewichtet werden soll, ist vage und für viele Webmaster schwer einzuschätzen.
Was aber noch viel schwerer wiegt, ist folgender Sachverhalt: Google hat bislang der Seitenperformance einen großen Stellenwert beigemessen. Lange Ladezeiten wirkten sich definitiv ungünstig aufs Ranking in den Suchergebnissen aus. Die zusätzliche Protokollschicht verlangsamt jedoch die Kommunikation zwischen Browser und Server und kann im Einzelfall die Performance einer Website regelrecht killen. Mit anderen Worten tut sich hier ein Widerspruch in der Google-Politik auf: Sicherheit vs. Performance. Hier wäre ein klares Statement von Google wünschenswert, weil dieser Widerspruch viele Webmaster und SEOs irritiert, zumal das Aufsetzen einer SSL-verschlüsselten Website die Serverlast erhöht und auch mit höheren Kosten verbunden ist. Als weiteres Hindernis kommt hinzu, dass in der Übergangszeit die alte https-Adresse und die neue https-Umgebung zur gleichen Zeit aktiv sind und es zu Duplicate Content kommt. Dies lässt sich jedoch durch einen 301er Weiterleitung verhindern. Die rechtzeitige Anpassung sorgt zudem dafür, dass Seitenaufrufe über bestehende Links nicht ins Leere laufen.
Fazit
Wie so oft lässt Google den Anwendern nur zwei Alternativen, die eigentlich gar keine sind: entweder sofort oder später auf https umzustellen. Aufgrund sich häufender Angriffe auf Internetverbindungen und der Kaperung von Passwörtern im großen Stil hat das Thema inzwischen einen so hohen gesellschaftlichen Stellenwert, dass Seitenbetreibern keine echte Alternative bleibt. Es ist absolut verständlich, dass Nutzer Sicherheit bei der Kommunikation erwarten, wenn sie Passwörter, Bankdaten, Kreditkartennummern und Ähnliches übermitteln. Shops und Webmailanbieter haben längst ihre sicherheitsrelevanten Unterseiten mit SSL-Zertifikaten versehen, um die Übertragung sensibler Daten zu schützen. Warum allerdings Landingpages oder Verbraucherinformationsportale der verschlüsselten Übertragung bedürfen, lässt sich indes nur schwer nachvollziehen. Hier geht es wohl eher ums Prinzip. Das ist schade für optimierte Seiten, die aufgrund ihrer guten Inhalte bereits gut ranken. Obwohl Nutzer über diese Seiten keine sensiblen Daten austauschen, werden Webmaster um den Aufwand der HTTPS-Umstellung nicht herumkommen. Die Angst aufgrund fehlender Trust-Signale ein gutes Ranking eines Tages verlieren zu können, ist einfach zu groß.
English Summary: As so often Google leaves the users only two alternatives, which are actually none at all: either immediately or later on https change over. Due to increasing attacks on Internet connections and the capture of passwords on a large scale, the topic has now become so important to society that site operators do not remain a real alternative. It is perfectly understandable that users expect communication security when submitting passwords, bank details, credit card numbers, and the like. Shops and webmail providers have long since provided their security-relevant subpages with SSL certificates to protect the transmission of sensitive data. However, it is difficult to understand why landing pages or consumer information portals require encrypted transmission. This is probably more about the principle. This is a shame for optimized sites, which already rank well due to their good content. Focus on your Small Business Management above all else and don’t always rely on google for help when you could be helping yourself. Although users do not share sensitive information through these sites, webmasters will not be able to handle the hassle of HTTPS migration. The fear of losing a good ranking one day due to missing trust signals is just too big.