„Let’s Encrypt“ – alles was du jetzt wissen musst!

Oktober 9, 2016
|In Technisches SEO
|By Stephan Raffeiner

„Let's Encrypt“ - alles was du jetzt wissen musst! 1

Bis vor kurzer Zeit war das Thema SSL-Verschlüsselung von Webseiten mehrheitlich ein Thema für Webshop-Betreiber und Sicherheits-Prediger. Aber seitdem Google HTTPS (mit sog. SSL Sicherheitszertifikaten verschlüsselte Webseiten) zum Rankingfaktor erklärte, war das Thema auch bei SEOs und Digital Marketing Spezialisten heiß diskutiert.

Bis Anfang 2016 war das Verschlüsseln von Webseiten mit SSL kostspielig und recht aufwändig. Aber mit dem Start der Initiative „Let’s Encrypt“ wurden SSL-Zertifikate zur Massenware und viele Webhoster bieten ab sofort SSL-Verschlüsselung kostenfrei an …

Mit „Let’s Encrypt“ verfolgt die Internet Security Research Group (ISRG), unter deren Dach der Mozilla Foundation, Cisco, Akamai aber auch Google und Facebook sich versammelt haben, das Ziel, SSL zum Internet-Standard zu machen.

Welche Vorteile, aber auch Nachteile bringt eine Umstellung mit sich? Diese Fragen möchte ich nachfolgend genauer beantworten.

Google gibt die Richtung vor …

Unverschlüsselte Seiten werden wahrscheinlich bald das Nachsehen haben und sowohl schwerer zu finden sein, als auch teils von Browsern als unsicher gekennzeichnet werden. Grund hierfür ist hauptsächlich Google.

Seiten mit SSL-Zertifikat sollen bereits seit 2014 bei der organischen Suche bevorzugt werden. 2015 teilte dann Google mit, dass beim Crawling die HTTPS Varianten von Websites den nicht verschlüsselten Versionen vorzuziehen. Seitdem crawlt Google HTTPS Seiten automatisch, auch wenn auf diese anscheinend nicht verlinkt wird.

Ab Januar 2017 wird der Google-Browser Chrome voraussichtlich seine Nutzer davor warnen, ein Passwort oder Kreditkarteninformationen über eine unverschlüsselte Website einzugeben. Und später wird der Browser auch an anderen Stellen vor unverschlüsselten Webseiten warnen: Seiten ohne Verschlüsselung werden in Chrome wohl schon bald mit einem roten „X“ über dem Schloss-Symbol angezeigt.

SSL-verschlüsselte Seiten bekommen ein grünes Vorhängeschloss, mit dem signalisiert wird, dass die Verbindung zur Seite „privat“ und sicher ist.

HTTPS-Umstellung, darauf musst du jetzt achten!

Mehr Sicherheit und ein Vorteil bei der Google-Suche, das sind die wichtigsten Vorteile eines SSL-Zertifikates.

Was spricht also noch gegen eine Umstellung? Es sind vor allem die technischen Hürden mit welchen ein SEO oder Webseitbetreiber infolge konfrontiert wird … und ob sich die Ladezeit der Webseiten verkürzt ist zudem weiter fraglich?

allinkl-ssl
So einfach geht zb. die SSL-Aktivierung beim Webhoster All-inkl: Domain > SSL bearbeiten > Haftungsausschluss aktivieren und Zertifikat beziehen.

Hosting-Dienstleister haben unterschiedlich auf die „Let’s Encrypt“-Offensive reagiert. So haben einige deutsche Hoster, wie All-Inkl oder der WordPress Spezialhoster Raidboxes, „Let’s Encrypt“-Zertifikate in ihre Bedienoberflächen integriert. Andere Hoster haben jedoch keine einfache Lösung parat. Hier muss über den Zertifizierungsclient Certbot eigenhändig ein Zertifikat geordert und auf dem Webserver eingerichtet werden. Dies ist umständlich und zeitraubend!

Wieder andere bieten in einigen oder allen Tarifen kostenlose Inklusivzertifikate an. Diese stammen nicht von Let’s Encrypt, erfüllen aber denselben Zweck.

Bevor du eine Umstellung machst, informiere dich also ausführlich über dein Webhosting in Verbindung mit SSL.

Danach wartet noch eine wichtige Hürden bis zum Ziel: Die Umstellung aller internen Links auf HTTPS sowie die Vermeidung doppelter Inhalte beispielsweise durch eine gut strukturierte .htaccess-Datei.

Laut den Ausführungen in dem Artikel „SSL- Kann Sicherheit schaden?“ von Torge Kahl in der Zeitschrift Website Boosting 7-8 2016 kann das Verschüsseln aber auch zu Performance-Einbußen führen: Das Ver- und Entschlüsseln der Daten verbraucht Rechenleistung auf dem Webserver und beim Client, so Torge Kahl. Mit aktuellen Servern und mobilen Endgeräten besteht dieses Problem nicht mehr, aber wenn jemand einen älteren Server betreibt kann es durchaus zu Schwierigkeiten mit der Performance kommen. Zudem ist das serverseitige Caching verschlüsselter Inhalte weiterhin ein Problem, so Kahl in dem Artikel.

Achtung bei werbefinanzierten Seiten!

Für größere Webseiten und werbefinanzierte Portale ist die SSL-Verschlüsselung kein leichtes Unterfangen. Wie in der Zeitschrift Website Boosting berichtet wird, kann es zu Einbußen bei den Werbeeinnahmen kommen … so erzählen auch Seitenbetreiber, dass ihr Umsatz mit Bannereinblendungen (RPM) nach einer Umstellung auf SSL stark zurück ging.
Dies hat mit dem Adserver und der Auslieferung der Werbemittel zu tun! Eine verschlüsselte Seite gilt für den Browser nur als sicher, wenn auch alle externen Ressourcen, wie zb. Werbebanner-Einblendungen über sichere Verbindungen geladen werden. Liefern also Publisher ihre Werbemitteln nicht über HTTPS aus, so können sie auch nicht mehr an Versteigerungen auf HTTPS-Seiten teilnehmen. Die führt zu weniger Bietern in der Werbeauktion und somit zu weniger Einnahmen.

Fazit

HTTPS-Webseiten werden wohl in naher Zukunft zum Standard. Deshalb spricht bis auf einige oben beschriebene technische Hürden im Grunde einer sofortigen Umstellung auf HTTPS nichts mehr dagegen! Informiere dich aber zunächst bei deinem Webhoster über die kostenlosen SSL-Zertifikate von „Let’s Encrypt” und stelle nach der erfolgreichen SSL-Aktivierung deine internen Links auf HTTPS um.

Solltest du aber größere, werbefinanzierte Webseiten betreiben bzw. auf deinem Portal Werbebanner ausliefern und damit Umsatz generieren, ist es ratsam sich genau über die Verschlüsserung der Adserver-Lieferanten zu informieren. Eine Umstellung ist erst dann empfohlen wenn auch deine Publisher über HTTPS ausliefern.