Checkliste zur HTTPS-Verschlüsselung von Websites

Checkliste zur HTTPS-Verschlüsselung von WebsitesIch den letzten Wochen habe ich den Großteil meiner Websites mit einer HTTPS-Verschlüsselung versehen. Auch mein Blog Selbststaendig-im-Netz.de ist mittlerweile nur noch über das SSL-Protokoll abrufbar.

Warum ich das gemacht habe und wie ich dabei vorgegangen bin, erfahrt ihr in diesem Artikel. Zudem habe ich eine Checkliste erstellt, die euch bei der Umsetzung der HTTPS-Verschlüsselung hilft, so dass ihr das selbstständig machen könnt.

Für Werbe-Links auf dieser Seite zahlt der Händler ggf. eine Provision. Diese Werbe-Links sind am Sternchen (*) zu erkennen. Für dich ändert sich nichts am Preis. Mehr Infos.

HTTPS-Verschlüsselung von Websites

Anrufannahme und Telefonservice
Werbung

Die Bedeutung des Internets nimmt immer weiter zu, was aber leider dazu führt, dass auch immer mehr kriminelle Energie unterwegs ist. Daten von Internet-Nutzern sind dabei natürlich besonders begehrt, weshalb Online-Shops schon seit vielen Jahren auf Verschlüsselung setzen.

Aber die Anforderungen an den Datenschutz nehmen zu, z.B. durch die im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO).

Jegliche Daten, die Nutzer bewusst oder unbewusst hinterlassen, müssen geschützt werden. Deshalb gehen Experten davon aus, dass es in Zukunft keine Alternative mehr dazu gibt, die eigene Website zu verschlüsseln, auch wenn man keine offensichtlich sensiblen Daten, wie Konto- oder Kreditkartennummern, von den Nutzern abfragt.

Die Verschlüsselung von Websites heißt heute eigentlich TLS (Transport Layer Security), aber die meisten kennen noch die alte Bezeichnung SSL (Secure Sockets Layer).

So oder so geht es darum, die Daten über das Internet verschlüsselt zu übertragen, damit diese sicher vor dem Zugriff oder der Manipulation Dritter sind.

Checkliste zur HTTPS-Verschlüsselung

Ich habe mir in den letzten Wochen eine eigene Checkliste nach und nach zusammengestellt, mit deren Hilfe ich meine eigenen Blogs und Websites auf https umgestellt habe.

Diese Checkliste möchte ich euch gern zur Verfügung stellen, damit ihr euch ebenfalls an die Umstellung machen können.

Ein kleiner Hinweis aber noch. Auch wenn diese Checkliste auf der Umstellung verschiedener Websites basiert und ich diese auch bei verschiedenen Hostern vorgenommen habe, so decke ich damit sicher nicht jeden Sonderfall ab. So habe ich z.B. nur WordPress im Einsatz und habe bei der Umstellung ein nützliches WordPress-Plugin genutzt. Ggf. müsst ihr euch dafür eine Alternative suchen.

Ich übernehme keinerlei Haftung für Schäden oder Datenverluste, die bei der Nutzung dieser Checkliste auftreten. Ihr macht das auf eure eigene Verantwortung.

  • Backup Datenbank und Dateien

    Vor der HTTPS-Umstellung musst du unbedingt eine Sicherung der Datenbank und der Dateien deiner Website vornehmen. Schließlich werden wir im Folgenden sowohl Änderungen an den Datenbank-Inhalten, als auch an einzelnen Dateien vornehmen. Stell sicher, dass du im Notfall die alte Website komplett wiederherstellen kannst.

  • SSL-Zertifikat bestellen und aktivieren

    Bevor die Umstellung auf https vorgenommen werden kann, musst du natürlich erstmal ein SSL-Zertifikat haben. Bei den meisten Hostern geht das sehr einfach. Am günstigsten ist natürlich ein Let’s Encrypt Zertifikat. Diese Initiative, bei der unter anderem Google dabei ist, stellt kostenlose SSL-Zertifikate bereit. Aber nicht bei allen deutschen Hostern sind diese verfügbar. Da muss man dann auf ein kostenpflichtiges Zertifikat zurückgreifen (das allerdings noch weiter Vorteile bietet und z.B. für Shops sinnvoller ist).

    Das Zertifikat muss dann natürlich auch für die betreffende Domain in den Hosting-Einstellung aktiviert werden.

  • HTTPS im CMS aktivieren

    Nutzt man ein Content Management System, dann kann man meist in den Einstellung die Domain festlegen. Bei WordPress findest du diese in “Einstellungen > Allgemein”. Dort habe ich aus http://www.meinedomain.de dann einfach https://www.meinedomain.de gemacht.

  • HTTPS in den eigenen Texten

    Nun wird es etwas aufwändiger. Es gilt in den eigenen Texten Links zur eigenen Domain von http auf https zu ändern. Das betrifft z.B. oft die Einbindung von Bildern, die auf dem eigenen Webspace liegen.

    Ich habe bei WordPress das Plugin “Search and Replace” benutzt. Das ermöglicht es ganz einfach nach einen bestimmten Text zu suchen (http://www.meinedomain.de) und diesen mit etwas anderem zu ersetzen (https://www.meinedomain.de).

    Je nach Größe der Datenbank solltest du die einzelnen Tabellen der Datenbank nacheinander auf diese Weise “abändern”, da es sonst zu Timeout-Fehlern kommen kann.

  • Änderungen in Dateien

    Du solltest unbedingt nachschauen, ob in der wp-config.php deiner WordPress-Website deine Domain vorkommt und dann dort auch http in https ändern.

    Zudem habe ich bei mir den folgenden Befehl in der wp-config.php zusätzlich eingebaut: define( ‘WP_CONTENT_URL’, ‘https://deine webseite/wp-content’ );

    Ob in deinem CMS, falls du nicht WordPress nutzt, ähnliche Einstellungen notwendig sind, solltest du auf jeden Fall prüfen.

  • Ersetzen per Text-Crawler

    Neben den genannten Stellen kann die alte http-URL deiner eigenen Website auch noch in anderen Dateien deiner Website vorkommen. Bei WordPress z.B. in der style.css und functions.php des genutzten Themes.

    Ich empfehle deshalb, dass du dir das Tool TextCrawler installierst und das aktuelle Backup deiner Website nach deiner http-URL durchsuchst.

    Die gefundenen Stellen kannst du dann einzeln auf dem Server in den entsprechenden Dateien ändern.

  • 1. Test

    Bevor du mit dem nächsten Schritt weitermachst, solltest du einmal testen, ob deine Website beim Aufruf mit https auch korrekt geladen wird. Ich hatte bei einem Theme das Problem, dass es in der functions.php eine PHP-Umleitung auf die http-Version gab. Das sorgte natürlich für Probleme.

    Prüfe also bitte erstmal, ob deine Website mit https problemlos angezeigt wird.

  • .htaccess Änderungen

    Nachdem wir die Domain auf der eigenen Website geändert haben, wollen wir sicherstellen, dass ab sofort immer die https-Variante angezeigt wird. Das ist durch einen zusätzlichen Code in der .htaccess Datei möglich.

    Öffne die .htaccess Datei deiner Website und füge folgenden Code hinzu:

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 
    

    Falls “RewriteEngine On” bereits in der .htaccess Datei vorhanden ist, kannst du diese Zeile hier weglassen. Dieser Code sorgt nun dafür, dass automatisch der Aufruf von http://www.meinedomain.de auf https://www.meinedomain.de weitergeleitet wird.

    Achtung: Die .htaccess Datei ist ein Minenfeld. Kleine Fehler können schnell dazu führen, dass deine Website mit einem 500-Fehler nicht mehr erreichbar ist. Falls du auf Probleme stößt, dann sprich mit deinem Hoster oder nutze ggf. auch die Option https zu erzwingen, die manche Hoster im Hosting-Account bereitstellen. Das gibt es z.B. bei All-Inkl.com*. Dann musst du die .htaccess Datei dafür gar nicht anfassen.

  • Cache löschen

    Nun solltest du einmal den Cache deiner Website löschen, denn im nächsten Schritt wollen wir mit Hilfe von Online-Tools prüfen, ob alles korrekt funktioniert und wo es nach Optimierungs-Bedarf gibt.

  • Unsichere Inhalte finden und beheben

    Wenn eine Website mit HTTPS-Verschlüsselung aufgerufen wird, müssen alle eingebundenen Inhalte auch verschlüsselt sein. Ist das nicht der Fall, gibt der Browser eine Warnung wegen “unsicherer Inhalte” aus. Das passiert zum Beispiel, wenn man Affiliate-Banner, die auf dem Server des Affiliate-Netzwerkes liegen, über einen http-Link einbindet. Auch bei älteren Amazon-Widgets ist das z.B. der Fall oder bei externen Newsletter-Formularen.

    Ich habe solche unsicheren Inhalte auf meinen Websites mit dem Tool jitbit.com/sslcheck/ gefunden.

    Hier gibt man die eigene Domain ein und das Tool analysiert bis zu 200 Seiten der eigenen Website. Als Ergebnis werden für jede einzelne analysierte Seite die unsicheren Inhalte ausgegeben.

    Auf diese Weise findet man solche eingebundenen Inhalte, die man entweder auf https abändern oder entfernen muss. Das ist oft ein wenig Fleißarbeit, denn manche Inhalte sind nur auf einzelnen Seiten eingebaut.

    (Das gilt übrigens nicht für normale externe Textlinks. Diese können weiterhin http davor stehen haben, ohne einen Fehler zu verusachen. Allerdings sollte man auch hier nach und nach auf https wechseln, wenn die Zielseite verschlüsselt ist.)

  • 2. Test

    Man kann auch selber nach unsicheren Inhalten suchen. Nur wenn das grüne Schloss neben der eigenen Domain in der Adress-Zeile des Browser steht, sind alle Inhalte verschlüsselt.

    Ich bin meine eigenen Websites auch nochmal selber durchgegangen und habe darauf geachten, dass auf jeder Seite das grüne Schloss angezeigt wird. Falls das mal nicht der Fall ist, solltest du dir den Quellcode der betreffenden Seite anschauen und nach eingebundenen http:// Inhalten suchen.

  • externe Backlinks ändern

    Nun sollte man dafür sorgen, dass auch möglichst viele externe Links auf die https-Version der eigenen Website zeigen. Für das Ranking in Google ist das zwar nicht entscheidend, aber besonders die von einem selbst beeinflussbaren Backlinks sollte man ändern. Das hat vor allem Ladezeit-Gründe, denn die Umleitung von http auf https dauert ein wenig, so dass es immer besser ist, wenn die Besucher gleich von einem https-Backlink kommen.

    So solltest du z.B. die Domain-Backlinks in deinen Social Network Profilen anpassen oder auch die Backlinks auf anderen eigenen Websites anpassen. Letzteres habe ich übrigens auch mit dem Plugin “Search and Replace” gemacht, da ja alle meine Websites mit WordPress laufen.

    Ggf. kannst du auch wichtige Websites bzw. deren Betreiber anschreiben und darum bitten, den Link zu deiner Website auf https umzustellen.

  • Google Search Console

    Wichtig ist zudem, dass du in der Google Search Console eine neue Property anlegst. Du lässt also die alte mit http dort weiter drin und legst eine neue Website mit https in der Search Console an.

    Auf diese Weise erfährt Google von der Umstellung und du kannst beobachten, ob es Probleme bei der verschlüsselten Version deiner Website gibt. Zudem sieht man so, wann die verschlüsselte Version in den Suchergebnissen auftaucht und die unverschlüsselte ablöst.

  • Google Analytics

    Wenn du Google Analytics oder ein anderes externes Statistik-Tool nutzt, solltest du ebenfalls eine Änderung vornehmen.

    In Google Analytics kannst du unter “VERWALTUNG > PROPERTY > Property-Einstellungen” statt “http” nun “https” auswählen.

WERBUNG
DSGVO Schritt-für-Schritt Generator - Word- & Excel-Vorlage Ein große Hilfe bei der Erstellung des eigenen Verarbeitungsverzeichnisses, der Risikoanalyse, der technischen und organisatorischen Maßnahmen und des eigenen Datenschutzkonzepts bietet dieser DSGVO Schritt-für-Schritt Generator. Hier sind über 120 vorausgefüllte Vorlagen (Word und Excel) enthalten, so dass man in kürzester Zeit die eigenen DS-GVO Unterlagen erstellt hat. dsgvo-vorlagen.de
Mehr Einnahmen mit dem Amazon Partnerprogramm! Das Amazon Affiliate Plugin für WordPress bietet Bestseller-Listen, Vergleichstabellen, Produktboxen, aktuelle Angebote und mehr. Als SiN-Leser sparst du 20% auf mein Lieblings-Plugin für das Amazon Partnerprogramm. www.aawp.de
Günstige Online-Rechnungssoftware Easybill nutzen Rechnungen, Angebote, Lieferscheine und mehr kannst du ganz einfach mit Easybill in der Cloud erstellen und von überall darauf zugreifen. Der deutsche Service ist günstig und sicher. www.easybill.de

Bonus

Mit dieser Checkliste sollte die Umstellung in den meisten Fällen abgeschlossen sein, aber es können in Einzelfällen weitere Schritte notwendig sein.

Macht die Sitemap Probleme, so dass dort weiterhin nur http:// Links angezeigt werden, dann solltest du das Plugin, welches die Sitemap erzeugt, einmal deaktivieren und wieder aktivieren.

Bei wpSEO kann auch der folgenden Code in der functions.php helfen:
add_filter(‘wpseo_enable_xml_sitemap_transient_caching’, ‘__return_false’);

Auf jeden Fall sollte die Sitemap nur noch https-Links anzeigen.

Eine weitere kleine Baustelle sind die vgwort-Zählpixel. Diese sorgen standardmäßig auch für die Meldung “unsichere Inhalte”. In einem Artikel habe ich schon ausführlich erklärt, wie man die vgwort-Zählpixel auf https umstellt.

Zudem ist es sinnvoll zu prüfen, ob sich die Ladezeit durch die Umstellung verschlechtert hat. Dazu sollte man vorher und nachher einen Ladezeit-Check durchführen.

Deutlich längere Ladezeiten nach der HTTPS-Umstellung deuten auf Probleme hin, denen man unbedingt auf den Grund gehen sollte.

Im Auge behalten

Wenn die Umstellung auf HTTPS abgeschlossen ist und alles wunschgemäß funktioniert, dann kann man erstmal durchatmen.

Allerdings sollte man das Thema nun nicht gänzlich abhaken und die Checkliste im Schubfach verschwinden lassen. Es kann schließlich sein, dass man doch etwas kleines übersehen hat. Und auch in Zukunft muss man beim Einbau neuer Inhalte oder beim Wechsel des Themes genau prüfen, dass weiterhin das grüne Schloss angezeigt wird.

Als Ergänzung zur Checkliste hier noch ein paar Einblicke in meine Erfahrungen bei der SSL-Umstellung einiger Nischenwebsites.

Habt ihr eure Websites schon auf SSL-Verschlüsselung (https) umgestellt?

Ergebnis anschauen

Hat bei euch mit der HTTPS-Umstellung alles geklappt, würde ich mich natürlich sehr über einen Backlink auf diese Checkliste freuen.

Habt ihr dagegen Probleme bei der Umstellung, dann schreibt doch hier in die Kommentare und ich versuche zu helfen. Ggf. passe ich die Checkliste auch an.

ALL-INKL.COM - Webhosting Server Hosting Domain Provider
Werbung

24 Gedanken zu „Checkliste zur HTTPS-Verschlüsselung von Websites“

  1. Danke für den guten Artikel. Zum Thema Suchen und Ersetzen in Texten, es gibt natürlich auch für phpMyAdmin SQL Befehle, mit denen man in Spalten Suchen und Ersetzen kann, dies erleichtert ggfs. die Arbeit. Vorher ist natürlich ein Backup zwingend.

    Antworten
  2. Vielen Dank für diesen umfassenden Artikel nebst eigenen Erfahrungsberichten :-)

    Persönlich hätte ich nur zwei Anmerkungen:

    Wenn ich den Abschnitt .htaccess Änderungen richtig lese würde nur das Protokoll der URL geändert werden und sowohl www. example.de als auch example.de auf https umgestlelt werden, so dass beide Seiten erreichbar sind.

    Ansonsten bin ich bei meiner Seite so vorgegangen, dass ich alle Pfade auf protokoll-relativen Pfade umgestellt habe. So wurde aus http:// einfach // was gerade bei eingebundenen Bildern oder Skripte ganz hilfreich ist.

    Viele Grüße
    Andreas Unkelbach

    Antworten
  3. Nach dem Search and replace -Durchlauf erscheint:
    “Deine Suche enthält deine aktuelle Website-URL. Die Ersetzung deiner Website-URL wird wahrscheinlich dazu führen, dass deine Website nicht mehr errreichbar ist. Wenn du die URL ändern möchtest (und du weißt, was du tust), verwende bitte die Export-Funktion und stelle sicher, dass du deine Datenbank gesichert hast, bevor du das geänderte SQL erneut importierst.”
    Was ist denn damit gemeint?

    Antworten
  4. Hallo Peer,

    zunächst einmal danke für die Checkliste und ausführliche Beschreibung.
    Mich würde es noch interessieren, ob du einen Rückgang der Besucherzahlen erwartest bzw. vielleicht auch schon feststellen kannst. Und wenn Ja, wie lange es ungefähr dauert, bis die ursprüngliche Besucherzahl wieder erreicht wird.

    Antworten
  5. Nicht vergessen sollte man auch andere Zählpixel und Scripts, wie beispielsweise den von VG-Wort, die binden gerne auch Inhalte via http ein. Generell sollte man auch protokoll unabhängig, also //www. und nicht https://www. verlinken, damit die Links auch zu not noch mit HTTP funktionieren.

    Antworten
  6. Hallo Peer,

    ich habe einige Seiten schon im Vorjahr umgestellt, da erschien dieser “Deine Suche enthält deine aktuelle Website-URL….” noch nicht. Ist aber nicht verkehrt, so kann man sich beide Versionen (http und https) vorher bequem sichern.

    Arbeit macht die ganze Sache, wenn man eine Muli-WP-Installation hat. Dann sollte die Umstellung aller Seiten möglichst zeitnah sein, sonst kann es zu Problemen beim Einloggen kommen.

    Eine Frage habe ich aber trotzdem dazu: Einige Webseiten, die Leser im Kommentar bei Dir angeben, sind immer noch unverschlüsselt.
    Wenn bei mir solch ein Link auf der Seite ist, erscheint oben bei Mozilla immer eine Warnung. Bei Dir hier nicht.
    Wie hast Du das gemacht?

    Viele Grüße
    Hubert

    Antworten
    • Normale externe Links werden nie als unsicher angezeigt. Nur Elemente der eigenen Website, die über http:// eingebunden sind, werden als unsicher angezeigt. Wenn ich also z.B. ein Grafik-Banner von einen Partnerprogramm per http:// einbinde, dann meldet sich der Browser mit so einer Meldung.

      Es ist also kein Problem, dass es Website-Links in den Kommentaren oder auch in meinen Artikeln gibt, die noch http:// haben. Schließlich ist auch noch nicht jede Website auf https umgestellt.

      Die Fehlermeldungen bei dir kommen also woanders her. Die oben genannten Tools helfen dir dabei herauszufinden, wo genau das Problem liegt.

      Antworten
  7. Hallo Peer,

    danke nochmal für deine Checkliste. Anhand dieser konnte ich meine Seite nun auch auf “https” umstellen. Ich habe noch ein weiteres Tool gefunden, anhand dessen ein zusätzlicher Test der Umstellung durchgeführt werden kann: https://www.ssllabs.com/ssltest/

    Viele Grüße,
    Timo

    Antworten
  8. Hallo
    wie immer ein informativer, klar strukturierter Artikel.
    Nur eine Sache ist mir nicht ganz klar bei der SSL-Verschlüsselung.
    Ich bin nämlich gerade dabei.
    Es geht um externe Links.
    Ich habe zum Beispiel einige Partnerlinks des Netzwerkes Affilinet.
    Affilinet ist erstaunlicherweise noch immer keine Seite, die mit einem grünen Schloss ausgestattet ist. In den Codes z.B. für Banner und Textlinks
    ist überall nur http zu sehen statt https.

    Da ich mitten drin bin in meiner Umstellungsaktion, möchte ich fragen, ob Affiliate-Codes mit http bzw. normale externe Links mit http für mich ein Problem sein werden, wenn ich das grüne Schloss erhalten möchte.
    Wenn ja: was kann ich tun? Eigenmächtig an den Werbe-Codes herumbasteln?
    Ein “s” hinter http setzen? Was ist dann mit dem Tracking der Werbemittel?

    Antworten
    • Normale externe Textlinks mit http sind kein Problem. Das grüne Schloss betrifft ja nur Elemente, die eingebettet sind. Bindet man z.B. ein Banner vom Affilinet-Server über http ein, dann ist das schlecht. Setzt man einfach einen normalen Textlinks mit http, dann ist das kein Problem.

      Ich habe hier im Blog ja auch sehr viele normale Textlinks mit http drin.

      Antworten
      • Vielen Dank, Peer.
        Werbemittel also mit https auszeichnen. Wenn ich auf eine Webseite verlinke, die http hat, kann ich das stehen lassen. Oder, wie ich herausgefunden habe, einfach das http entfernen. Und einfach so schreiben:
        Interkontakt.
        Dann steht wenigstens kein htttp drin. Der Browser kann es sich aussuchen.

        Antworten
  9. Hallo Peer,
    die Ausführungen haben mir geholfen, doch habe ich beim Umstellen meiner Internetseiten oft Probleme bekommen und kam an meine Grenzen. So habe ich “versucht” meine HTTP > in HTTPS umzustellen und sie dann zu speichern. Bei einigen Website kam dann die “500” Frage gibt es eine Möglichkeit (??) automatisiert die Umwandlung HTTP >HTTPS auszuführen oder muss ich meine Website n e u aufbauen. Ich nehme an, dass es an den Grafikdateien bzw. Links liegt. Werde mal noch einige Nachtschichten einlegen bis alles richtig läuft und dann meine Erfahrungen mitteilen.

    Antworten
  10. Hallo Peer,

    so, wie ich es verstanden habe, ist es also kein Problem, wenn ich als einfachen Textlink eine Seite verlinke, die noch immer auf http läuft, richtig?

    Beste Grüße,

    Katharina

    Antworten
  11. Ein einfacher http-Textlink zu einer anderen Website ist kein Problem.

    Es geht ja nur um Dinge, die über http auf der eigenen Website eingebunden werden, wie Bilder oder Scripte. Diese müssen alle über https eingebunden werden.

    Antworten
  12. Hallo Peer, meine Projekte sind nun längst auf https umgestellt und dank deines Leitfadens ging dies bei mir auch problemlos. In der Search Console habe ich immer noch die alten Http-Properties drin. Die kann ich doch mittlerweile nach über einem Jahr löschen, oder? Dort habe ich keine Klicks mehr seitens Google (nicht mehr gelistet).

    Antworten

Schreibe einen Kommentar