Wann sollte man HTTPs und wann HTTP verwenden?

When Should You Use HTTPs vs HTTP?

Wenn Du eine Webseite hast, dann hast Du die Umstellung von HTTP auf HTTPs bestimmt schon gemacht oder zumindest schon mal davon gehört. Doch wo liegt der Unterschied? Mal abgesehen von dem kleinen „s“.

Als Unternehmer weißt Du, dass bereits ein kleiner Unterschied am Produkt oder in der Marketingstrategie große Auswirkungen auf Dein Unternehmen haben kann. Doch lohnt sich die Umstellung auf HTTPs wirklich? Ich meine, die meisten Nutzer merken es ja nicht einmal.

In diesem Artikel möchte ich auf die Unterschiede zwischen HTTP und HTTPs eingehen. Wir werden herausfinden, ob sich die Umstellung wirklich lohnt.

HTTPS oder HTTP: Wo liegt der Unterschied?

Beide Protokolle, HTTP und HTTPS, übertragen Daten auf der Anwendungsschicht über ein Rechnernetz im Internet. Um die Unterschiede zu verstehen, müssen wir uns zuerst anschauen, wie sie funktionieren.

Was ist HTTP?

Das Hypertext Transfer Protocol (HTTP) wurde von Tim Berners-Lee entwickelt. Es wird eingesetzt, um Webseiten in einen Webbrowser zu laden. Das größte Problem bei HTTP besteht darin, dass es strukturierte Hypertext-Dokumente verwendet, die Daten werden nicht verschlüsselt. Dies führt dazu, dass die übertragenen Daten von Kriminellen abgefangen werden können.

Mal angenommen, Du besuchst eine Webseite, die HTTP verwendet, und möchtest Dich einloggen. Da die Daten zwischen dem Server und Deinem Browser nicht verschlüsselt werden, können die von Hackern abgefangen und gelesen werden. Darum blenden Suchmaschinen wie Google jetzt ein kleines Symbol ein, falls eine Webseite nur HTTP verwendet, da sie dem Besucher zeigen möchten, dass die Webseite nicht geschützt ist.

Ein weiterer Nachteil besteht darin, dass HTTP jeweils nur eine Anfrage verarbeiten kann.

when should you use https vs http

Das Dokument wird aus verschiedenen Teilen rekonstruiert. Oft sind mehrere Anfragen nötig, um eine einzige Webseite zu laden, was natürlich Auswirkungen auf die Ladezeiten hat. 

Was ist HTTPS?

HTTPS ist eine neue, verbesserte Version des Schemas für HTTP, das Daten mittels SSL oder TLS verschlüsselt übertragen kann. 

SSL steht für Secure Sockets Layer, TLS steht für Transport Layer Security. Es handelt sich in beiden Fällen um ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Diese zusätzliche Sicherheit macht das Hypertext Transfer Protocol Secure (HTTPS) zur besseren Alternative zur Datenübertragung im Web, insbesondere bei der Übertragung von sensiblen Daten wie E-Commerce-Plattformen oder Webseiten, die persönliche Informationen ihrer Nutzer sammeln.

HTTPS ist eine sicherere Version von HTTP.

https vs http - example of NeilPatel https

Die Daten der Nutzer werden auf drei Ebenen gesichert:

  • Verschlüsselung: Dadurch wird sichergestellt, dass die Aktivitäten des Nutzers nicht nachverfolgt und seine Informationen nicht gestohlen werden können.
  • Datenintegrität: HTTPS verhindert, dass Dateien bei der Übertragung zwischen einem Webserver und einer Webseite beschädigt werden.
  • Authentifizierung: Das Protokoll authentifiziert Webseiten. HTTPS wird zur Herstellung von Vertraulichkeit verwendet.

Wie Du sehen kannst, gibt es große Unterschiede zwischen HTTPS und HTTP.

HTTPS oder HTTP: Was ist besser für die SEO?

Das kann ich sofort beantworten. HTTPs ist besser für die SEO und zwar aus folgenden Gründen:

HTTPS ist sicherer

Sicherheit ist eins der wichtigsten Dinge im Internet, auch beim Ranking; aus diesem Grund kündigte Google bereits 2014 an, dass HTTPS als Ranking-Signal genutzt wird. Im Bereich SEO hat HTTPS HTTP gegenüber also einen entscheidenden Vorteil.

HTTPS überträgt klarere Daten

Neben der Sicherheit, die SEO-Vorteile bietet, ist die Übertragung Deiner Daten auch viel klarer, Du kannst also sehen, wo Deine Besucher herkommen. Wenn Deine Webseite noch immer HTTP verwendet, wird ein Großteil Deines Traffics Google Analytics (GA) als “direkter” Traffic angezeigt. Wenn Du jedoch HTTPS verwendest, kannst Du genau sehen, wo dieser Traffic herkommt.

Du hast Zugriff auf genauere Daten, die zu Optimierung Deiner SEO-Strategie verwendet werden können.

HTTPS steigert die Autorität

Da Browser wie Chrome dem Besucher mitteilen, ob eine Webseite HTTP oder das sichere HTTPS verwendet, verlassen viele Nutzer unsichere Seiten sofort wieder. Eine hohe Absprungrate ist ein schlechtes SEO-Signal, weil sie auf eine negative Nutzererfahrung (UX für User Experience) hindeutet, UX ist aber kritisch, weil Google die Nutzerfreundlichkeit von Seiten analysiert und als Rankingfaktor heranzieht.

Wenn der Nutzer jedoch auf einer Webseite landet, die das HTTPs-Protokoll verwendet, gibt die Suchmaschine ihm zu verstehen, dass es sich um eine sichere Seite handelt. Diese Sicherheit gibt dem Nutzer ein gutes Gefühl, woraufhin er sich intensiver mit den Inhalten der Seite beschäftigt.

Die Geschwindigkeit ist ein Faktor

Die Ladegeschwindigkeit ist ein wichtiger Rankingfaktor. Gerade in diesem Bereich schneidet HTTP sehr schlecht ab, da jeweils nur eine Anfrage verarbeitet werden kann, was die Geschwindigkeit erheblich einschränkt und vor allem für umfangreiche Webseiten mit vielen Informationen ein großer Nachteil ist.

HTTPS ist schneller als HTTP und aus diesem Grund erzielen Webseiten, die HTTPS verwenden, fast immer bessere Rankings.

Was ist also besser für die SEO? Aufgrund der oben genannten Argumente würdest Du mit sicher zustimmen, dass HTTPS die bessere Wahl ist.

Und was ist mit HTTP/2? 

HTTP/2 ist eine Überarbeitung des HTTP-Netzwerkprotokolls, die Ende der 90er vorgenommen wurde. Diese Veränderung ist in Internetjahren gerechnet schon eine Ewigkeit her.

Da sich das Internet und die damit verbundene Technologie ständig weiterentwickelt, reichen veraltete Protokolle einfach nicht mehr aus, vor allem im Hinblick auf dynamische Inhalte und die heutige Informationsvielfalt. Überarbeitungen und Verbesserungen waren schon lange überfällig, darum wurde HTTP/2 eingeführt.

Was ist HTTP/2?

HTTP/2 ist eine Verbesserung gegenüber HTTP, da es die Zusammenfassung (Multiplexing) mehrerer Anfragen ermöglicht, dadurch ergibt sich eine Beschleunigung. HTTP erlaubt jeweils nur die Verarbeitung einer Datei über eine TCP-Verbindung. Diese muss nach dem Senden jeder Datei wieder geschlossen werden, was zu längeren Wartezeiten führt.

Hinzu kommt, dass Inhalte binär übertragen werden können. Binäre Protokolle verbrauchen weniger Bandbreite und sind weniger anfällig für Fehler. Zudem verarbeiten sie Elemente wie Leerzeichen, Großschreibung und das Ende von Zeilen viel besser.

Weitere nennenswerte Verbesserungen sind:

  • Weitergehende Datenkompressionsmöglichkeiten: Die Header-Komprimierung reduziert den Overhead, der durch den Slow-Start-Mechanismus von TCP verursacht wird.
  • Server-initiierte Datenübertragungen: Um nicht auf serverseitig vorhersehbare Folgeanforderungen vom Client warten zu müssen, können Datenübertragungen teilweise vom Server initiiert werden (Push-Verfahren).
  • Erhöhte Sicherheit: Wie HTTPS verwendet auch HTTP/2 Verschlüsselungsprotokolle, um die Daten der Benutzer zu schützen.

Die Überarbeitung führt hauptsächlich zu einer verbesserten Effizienz, mehr Sicherheit und höherer Geschwindigkeit, was HTTP/2 zu einer praktikablen Alternative macht. HTTP/2 ist zudem SEO-freundlicher als sein Vorgänger.

Welche Rolle spielt die bei der Debatte um HTTPS oder HTTP?

HTTP/2 ist nur über eine HTTPS-Verbindung verfügbar. Wenn Dein System HTTP/2 nicht unterstützt, könntest Du alternativ ein Content Delivery Network (CDN) verwenden, um es zu implementieren.

Kann man HTTP und HTTPS gleichzeitig nutzen?

In der Praxis könnte man sowohl HTTP als auch HTTPS verwenden. Du kannst beispielsweise einige Deiner Ressourcen über eine sichere HTTPS-Verbindung übertragen und andere über die normale HTTP-Verbindung. Diese Methode wird auch als „gemischter Inhalt“ bezeichnet, da sowohl HTTP- als auch HTTPS-Inhalte auf derselben Seite angezeigt werden. Da die anfängliche Anfrage jedoch über HTTPS stattfindet, ist der Datenaustausch sicher.

Dennoch schwächt HTTP die allgemeine Sicherheit Deiner Seite und kann sie Angriffen gegenüber sensibler machen. Bei der sogenannten Man-in-the-Middle-Attacke steht der Angreifer zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr.

Browser warnen Nutzer normalerweise, wenn eine Webseite gemischte Inhalte verwendet, doch manchmal ist es dann schon zu spät, da die unsichere Anfrage bereits stattgefunden hat. Aus diesem Grund würde ich die Nutzung von HTTP und HTTPS gleichzeitig nicht empfehlen, weil viele Browser Webseiten mit gemischten Inhalten mittlerweile sogar blocken.

Da Google verstärkt auf Sicherheit im Internet setzt, ist es besser, vollständig auf HTTPS umzusteigen.

Die Umstellung von HTTP auf HTTPS

http to https graphic showing a locked icon on a laptop

Nun weißt Du, dass HTTPS besser und sicherer ist, darum möchte ich Dir im Folgenden zeigen, wie Du von HTTP auf HTTPS umsteigen kannst. Das ist eigentlich ganz einfach. Folge diesen Schritten:

Bereite Dich auf die Umstellung vor

Die Umstellung von HTTP auf HTTPS ist ein wichtiger Schritt, auf den Du Dich vorbereiten solltest. Setze Dein gesamtes Team über die Änderung in Kenntnis und bereits Dich auf einen möglichen kurzfristigen Ausfall des Betriebs vor.

Kaufe und installiere ein SSL-Zertifikat

Zuerst musst Du ein SSL-Zertifikat kaufen. Diese gibt es bei Deinem Hosting-Anbieter, der das Zertifikat in den meisten Fällen auch direkt für Dich installieren kann. Du musst jedoch das richtige SSL-Zertifikat für Deine Bedürfnisse finden. Hier stehen Dir drei Möglichkeiten zur Auswahl:

  • Domain-geprüftes SSL-Zertifikat
  • Kunden-geprüftes SSL-Zertifikat
  • Kunden-geprüftes EV-SSL-Zertifikat

Die Verschlüsselung erfolgt über alle drei Zertifikate, jedoch unterschiedet sich der Beschaffungsweg. Das Domain-geprüfte SSL-Zertifikat ist am einfachsten zu bekommen und wird hauptsächlich auf kleinen Webseites verwendet. Kunden-geprüfte SSL-Zertifikat haben ein strengeres Überprüfungsverfahren und Kunden-geprüfte EV-SSL-Zertifikat unterliegen den strengsten Anforderungen.

Sobald Du ein SSL-Zertifikat erworben hast, muss Dein Webhost es für Dich installieren und konfigurieren. Alternativ kannst Du einen Schlüssel generieren und diesen in das entsprechende Feld Deines Web-Hosts einfügen.

Du solltest Dich an den Support Deines Anbieters wenden, falls Du die Konfiguration nicht selbst vornehmen kannst.

Aktiviere HTTPS

Die Komplexität der Migration hängt weitgehend von der Größe Deiner Webseite ab. Wenn sie groß ist, solltest Du den Prozess in verschiedene Phasen aufteilen und am besten mit den wichtigsten Subdomains beginnen.

Sobald HTTPS installiert wurde und ordnungsgemäß ausgeführt wird, kannst Du auf die HTTPS-Version Deiner Seiten zugreifen, Du solltest aber zuerst prüfen, ob das SSL-Zertifikat korrekt installiert wurde. Achte zudem darauf, dass alle internen Links auf HTTPS umgestellt werden.

301-Weiterleitungen einrichten

Wenn Du ein CMS verwendest, kannst Du Deinen Traffic automatisch auf das neue HTTPS-Protokoll umleiten lassen, sonst musst Du diese Umstellung manuell vornehmen.

Eine 301-Weiterleitung lässt die Suchmaschine wissen, Deine Webseite permanent umgezogen ist und ab sofort unter den neuen Protokollen indiziert werden soll.

Nachdem Du Deine Webseite migriert hast, musst Du noch Einstellungen in Deiner Google Search Console vornehmen und die Webseite verifizieren.

HTTPS im Vergleich zu HTTP: Häufig gestellte Fragen

Warum ist HTTP nicht sicher?

HTTP ist nicht sicher, da die Daten bei der Übertragung nicht verschlüsselt werden. Dies gibt Hackern die Möglichkeit, Deine Daten abzufangen.

Ist HTTPS wirklich sicher?

Ja. HTTPS ist sicherer als HTTP, da die Daten bei der Übertragung verschlüsselt werden. Du kannst das SSL-Zertifikat einer Webseite überprüfen, um die Legitimität der Seite zu prüfen.

Kann HTTPS gehackt werden?

Ja. Obwohl HTTPS zusätzliche Sicherheit bietet, kann es trotzdem gehackt werden.

Benötige ich ein VPN, wenn ich HTTPS verwenden will?

Es ist nicht notwendig, aber sicherer. Wenn Dir sie Sicherheit Deines Internetzugangs sicher und Deine Privatsphäre besonders sicher ist, solltest Du HTTPS und ein privates virtuelles Netzwerk verwenden. HTTPS bietet End-to-End-Verschlüsselung und das VPN verschlüsselt die Daten von Deinem Computer zum Server.

Fazit

Dies beendet die HTTP-HTTPS-Debatte hoffentlich ein für alle Mal.

Wenn Dein Unternehmen eine Webseite hat, musst Du unbedingt auf HTTPS umsteigen, sonst verlierst Du nicht nur Traffic, weil Deine Webseite als unsicher markiert wird, sondern vor allem Umsatz, weil auch das Vertrauen Deiner Kunden leidet.

Warte nicht länger. Stelle Deine Webseite endlich auf HTTPS um. Es lohnt sich.

Hast Du die Umstellung von HTTP auf HTTPS schon vorgenommen? Was ist Dir nach dem Umstieg aufgefallen?

Teilen