Checkliste zur HTTPS-Verschlüsselung von Websites

Ich den letzten Wochen habe ich den Großteil meiner Websites mit einer HTTPS-Verschlüsselung versehen. Auch mein Blog Selbststaendig-im-Netz.de ist mittlerweile nur noch über das SSL-Protokoll abrufbar.

Warum ich das gemacht habe und wie ich dabei vorgegangen bin, erfahrt ihr in diesem Artikel. Zudem habe ich eine Checkliste erstellt, die euch bei der Umsetzung der HTTPS-Verschlüsselung hilft, so dass ihr das selbstständig machen könnt.

HTTPS-Verschlüsselung von Websites

Die Bedeutung des Internets nimmt immer weiter zu, was aber leider dazu führt, dass auch immer mehr kriminelle Energie unterwegs ist. Daten von Internet-Nutzern sind dabei natürlich besonders begehrt, weshalb Online-Shops schon seit vielen Jahren auf Verschlüsselung setzen.

Aber die Anforderungen an den Datenschutz nehmen zu, z.B. durch die im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO).

Jegliche Daten, die Nutzer bewusst oder unbewusst hinterlassen, müssen geschützt werden. Deshalb gehen Experten davon aus, dass es in Zukunft keine Alternative mehr dazu gibt, die eigene Website zu verschlüsseln, auch wenn man keine offensichtlich sensiblen Daten, wie Konto- oder Kreditkartennummern, von den Nutzern abfragt.

Die Verschlüsselung von Websites heißt heute eigentlich TLS (Transport Layer Security), aber die meisten kennen noch die alte Bezeichnung SSL (Secure Sockets Layer).

So oder so geht es darum, die Daten über das Internet verschlüsselt zu übertragen, damit diese sicher vor dem Zugriff oder der Manipulation Dritter sind.

Checkliste zur HTTPS-Verschlüsselung

Ich habe mir in den letzten Wochen eine eigene Checkliste nach und nach zusammengestellt, mit deren Hilfe ich meine eigenen Blogs und Websites auf https umgestellt habe.

Diese Checkliste möchte ich euch gern zur Verfügung stellen, damit ihr euch ebenfalls an die Umstellung machen können.

Ein kleiner Hinweis aber noch. Auch wenn diese Checkliste auf der Umstellung verschiedener Websites basiert und ich diese auch bei verschiedenen Hostern vorgenommen habe, so decke ich damit sicher nicht jeden Sonderfall ab. So habe ich z.B. nur WordPress im Einsatz und habe bei der Umstellung ein nützliches WordPress-Plugin genutzt. Ggf. müsst ihr euch dafür eine Alternative suchen.

Ich übernehme keinerlei Haftung für Schäden oder Datenverluste, die bei der Nutzung dieser Checkliste auftreten. Ihr macht das auf eure eigene Verantwortung.

• Backup Datenbank und Dateien

  Vor der HTTPS-Umstellung musst du unbedingt eine Sicherung der Datenbank und der Dateien deiner Website vornehmen. Schließlich werden wir im Folgenden sowohl Änderungen an den Datenbank-Inhalten, als auch an einzelnen Dateien vornehmen. Stell sicher, dass du im Notfall die alte Website komplett wiederherstellen kannst.

• SSL-Zertifikat bestellen und aktivieren

  Bevor die Umstellung auf https vorgenommen werden kann, musst du natürlich erstmal ein SSL-Zertifikat haben. Bei den meisten Hostern geht das sehr einfach. Am günstigsten ist natürlich ein Let’s Encrypt Zertifikat. Diese Initiative, bei der unter anderem Google dabei ist, stellt kostenlose SSL-Zertifikate bereit. Aber nicht bei allen deutschen Hostern sind diese verfügbar. Da muss man dann auf ein kostenpflichtiges Zertifikat zurückgreifen (das allerdings noch weiter Vorteile bietet und z.B. für Shops sinnvoller ist).

  Das Zertifikat muss dann natürlich auch für die betreffende Domain in den Hosting-Einstellung aktiviert werden.

• HTTPS im CMS aktivieren

  Nutzt man ein Content Management System, dann kann man meist in den Einstellung die Domain festlegen. Bei WordPress findest du diese in “Einstellungen > Allgemein”. Dort habe ich aus http://www.meinedomain.de dann einfach https://www.meinedomain.de gemacht.

• HTTPS in den eigenen Texten

  Nun wird es etwas aufwändiger. Es gilt in den eigenen Texten Links zur eigenen Domain von http auf https zu ändern. Das betrifft z.B. oft die Einbindung von Bildern, die auf dem eigenen Webspace liegen.

  Ich habe bei WordPress das Plugin “Search and Replace” benutzt. Das ermöglicht es ganz einfach nach einen bestimmten Text zu suchen (http://www.meinedomain.de) und diesen mit etwas anderem zu ersetzen (https://www.meinedomain.de).

  

  Je nach Größe der Datenbank solltest du die einzelnen Tabellen der Datenbank nacheinander auf diese Weise “abändern”, da es sonst zu Timeout-Fehlern kommen kann.

• Änderungen in Dateien

  Du solltest unbedingt nachschauen, ob in der wp-config.php deiner WordPress-Website deine Domain vorkommt und dann dort auch http in https ändern.

  Zudem habe ich bei mir den folgenden Befehl in der wp-config.php zusätzlich eingebaut: define( ‘WP_CONTENT_URL’, ‘https://deine webseite/wp-content’ );

  Ob in deinem CMS, falls du nicht WordPress nutzt, ähnliche Einstellungen notwendig sind, solltest du auf jeden Fall prüfen.

• Ersetzen per Text-Crawler

  Neben den genannten Stellen kann die alte http-URL deiner eigenen Website auch noch in anderen Dateien deiner Website vorkommen. Bei WordPress z.B. in der style.css und functions.php des genutzten Themes.

  Ich empfehle deshalb, dass du dir das Tool TextCrawler installierst und das aktuelle Backup deiner Website nach deiner http-URL durchsuchst.

  

  Die gefundenen Stellen kannst du dann einzeln auf dem Server in den entsprechenden Dateien ändern.

• 1. Test

  Bevor du mit dem nächsten Schritt weitermachst, solltest du einmal testen, ob deine Website beim Aufruf mit https auch korrekt geladen wird. Ich hatte bei einem Theme das Problem, dass es in der functions.php eine PHP-Umleitung auf die http-Version gab. Das sorgte natürlich für Probleme.

  Prüfe also bitte erstmal, ob deine Website mit https problemlos angezeigt wird.

• .htaccess Änderungen

  Nachdem wir die Domain auf der eigenen Website geändert haben, wollen wir sicherstellen, dass ab sofort immer die https-Variante angezeigt wird. Das ist durch einen zusätzlichen Code in der .htaccess Datei möglich.

  Öffne die .htaccess Datei deiner Website und füge folgenden Code hinzu:

  RewriteEngine On
  RewriteCond %{HTTPS} !=on
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 
  

  Falls “RewriteEngine On” bereits in der .htaccess Datei vorhanden ist, kannst du diese Zeile hier weglassen. Dieser Code sorgt nun dafür, dass automatisch der Aufruf von http://www.meinedomain.de auf https://www.meinedomain.de weitergeleitet wird.

  Achtung: Die .htaccess Datei ist ein Minenfeld. Kleine Fehler können schnell dazu führen, dass deine Website mit einem 500-Fehler nicht mehr erreichbar ist. Falls du auf Probleme stößt, dann sprich mit deinem Hoster oder nutze ggf. auch die Option https zu erzwingen, die manche Hoster im Hosting-Account bereitstellen. Das gibt es z.B. bei All-Inkl.com. Dann musst du die .htaccess Datei dafür gar nicht anfassen.

• Cache löschen

  Nun solltest du einmal den Cache deiner Website löschen, denn im nächsten Schritt wollen wir mit Hilfe von Online-Tools prüfen, ob alles korrekt funktioniert und wo es nach Optimierungs-Bedarf gibt.

• Unsichere Inhalte finden und beheben

  Wenn eine Website mit HTTPS-Verschlüsselung aufgerufen wird, müssen alle eingebundenen Inhalte auch verschlüsselt sein. Ist das nicht der Fall, gibt der Browser eine Warnung wegen “unsicherer Inhalte” aus. Das passiert zum Beispiel, wenn man Affiliate-Banner, die auf dem Server des Affiliate-Netzwerkes liegen, über einen http-Link einbindet. Auch bei älteren Amazon-Widgets ist das z.B. der Fall oder bei externen Newsletter-Formularen.

  Ich habe solche unsicheren Inhalte auf meinen Websites mit dem Tool jitbit.com/sslcheck/ gefunden.

  

  Hier gibt man die eigene Domain ein und das Tool analysiert bis zu 200 Seiten der eigenen Website. Als Ergebnis werden für jede einzelne analysierte Seite die unsicheren Inhalte ausgegeben.

  Auf diese Weise findet man solche eingebundenen Inhalte, die man entweder auf https abändern oder entfernen muss. Das ist oft ein wenig Fleißarbeit, denn manche Inhalte sind nur auf einzelnen Seiten eingebaut.

  (Das gilt übrigens nicht für normale externe Textlinks. Diese können weiterhin http davor stehen haben, ohne einen Fehler zu verusachen. Allerdings sollte man auch hier nach und nach auf https wechseln, wenn die Zielseite verschlüsselt ist.)

• 2. Test

  Man kann auch selber nach unsicheren Inhalten suchen. Nur wenn das grüne Schloss neben der eigenen Domain in der Adress-Zeile des Browser steht, sind alle Inhalte verschlüsselt.

  Ich bin meine eigenen Websites auch nochmal selber durchgegangen und habe darauf geachten, dass auf jeder Seite das grüne Schloss angezeigt wird. Falls das mal nicht der Fall ist, solltest du dir den Quellcode der betreffenden Seite anschauen und nach eingebundenen http:// Inhalten suchen.

• externe Backlinks ändern

  Nun sollte man dafür sorgen, dass auch möglichst viele externe Links auf die https-Version der eigenen Website zeigen. Für das Ranking in Google ist das zwar nicht entscheidend, aber besonders die von einem selbst beeinflussbaren Backlinks sollte man ändern. Das hat vor allem Ladezeit-Gründe, denn die Umleitung von http auf https dauert ein wenig, so dass es immer besser ist, wenn die Besucher gleich von einem https-Backlink kommen.

  So solltest du z.B. die Domain-Backlinks in deinen Social Network Profilen anpassen oder auch die Backlinks auf anderen eigenen Websites anpassen. Letzteres habe ich übrigens auch mit dem Plugin “Search and Replace” gemacht, da ja alle meine Websites mit WordPress laufen.

  Ggf. kannst du auch wichtige Websites bzw. deren Betreiber anschreiben und darum bitten, den Link zu deiner Website auf https umzustellen.

• Google Search Console

  Wichtig ist zudem, dass du in der Google Search Console eine neue Property anlegst. Du lässt also die alte mit http dort weiter drin und legst eine neue Website mit https in der Search Console an.

  Auf diese Weise erfährt Google von der Umstellung und du kannst beobachten, ob es Probleme bei der verschlüsselten Version deiner Website gibt. Zudem sieht man so, wann die verschlüsselte Version in den Suchergebnissen auftaucht und die unverschlüsselte ablöst.

• Google Analytics

  Wenn du Google Analytics oder ein anderes externes Statistik-Tool nutzt, solltest du ebenfalls eine Änderung vornehmen.

  In Google Analytics kannst du unter “VERWALTUNG > PROPERTY > Property-Einstellungen” statt “http” nun “https” auswählen.

Bonus

Mit dieser Checkliste sollte die Umstellung in den meisten Fällen abgeschlossen sein, aber es können in Einzelfällen weitere Schritte notwendig sein.

Macht die Sitemap Probleme, so dass dort weiterhin nur http:// Links angezeigt werden, dann solltest du das Plugin, welches die Sitemap erzeugt, einmal deaktivieren und wieder aktivieren.

Bei wpSEO kann auch der folgenden Code in der functions.php helfen:
add_filter(‘wpseo_enable_xml_sitemap_transient_caching’, ‘__return_false’);

Auf jeden Fall sollte die Sitemap nur noch https-Links anzeigen.

Eine weitere kleine Baustelle sind die vgwort-Zählpixel. Diese sorgen standardmäßig auch für die Meldung “unsichere Inhalte”. In einem Artikel habe ich schon ausführlich erklärt, wie man die vgwort-Zählpixel auf https umstellt.

Zudem ist es sinnvoll zu prüfen, ob sich die Ladezeit durch die Umstellung verschlechtert hat. Dazu sollte man vorher und nachher einen Ladezeit-Check durchführen.

Deutlich längere Ladezeiten nach der HTTPS-Umstellung deuten auf Probleme hin, denen man unbedingt auf den Grund gehen sollte.

Im Auge behalten

Wenn die Umstellung auf HTTPS abgeschlossen ist und alles wunschgemäß funktioniert, dann kann man erstmal durchatmen.

Allerdings sollte man das Thema nun nicht gänzlich abhaken und die Checkliste im Schubfach verschwinden lassen. Es kann schließlich sein, dass man doch etwas kleines übersehen hat. Und auch in Zukunft muss man beim Einbau neuer Inhalte oder beim Wechsel des Themes genau prüfen, dass weiterhin das grüne Schloss angezeigt wird.

Als Ergänzung zur Checkliste hier noch ein paar Einblicke in meine Erfahrungen bei der SSL-Umstellung einiger Nischenwebsites.

Hat bei euch mit der HTTPS-Umstellung alles geklappt, würde ich mich natürlich sehr über einen Backlink auf diese Checkliste freuen.

Habt ihr dagegen Probleme bei der Umstellung, dann schreibt doch hier in die Kommentare und ich versuche zu helfen. Ggf. passe ich die Checkliste auch an.

• Über
• Letzte Artikel

Peer Wandiger

Studium der BWL und langjährige Arbeit in einem mittelständischen Unternehmen. Seit 2006 selbständig als Webentwickler und Website-Betreiber, 2007 Gründung von Selbständig im Netz.

Wer wir sind und wie wir arbeiten. In unserem Büro im Zentrum von Köln arbeiten ausgebildete Redakteur/innen an der Ausarbeitung erstklassiger Inhalte, auf die du dich verlassen kannst. Sämtliche Artikel werden nach dem Vier-Augen-Prinzip publiziert: Nach Fertigstellung der Rohfassung werden die Texte von (mindestens) einem/r anderen Redakteur/in auf orthografische und inhaltliche Richtigkeit hin überprüft.

Diese Seite ist ein Angebot der 4pub GmbH mit Sitz in Köln. Wir haben uns auf den Betrieb hochwertiger redaktioneller Online-Portale spezialisiert und berichten stets redaktionell unabhängig.

Letzte Artikel von Peer Wandiger (Alle anzeigen)

• Danke für 16 tolle Jahre - 13. Juli 2023
• So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
• Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023