TLS/SSL-Verschlüsselung als Google Rankingfaktor

Webseitenbetreiber, die ihr Onlineangebot bisher noch ungesichert betreiben, sind gut beraten, sich mit dem Thema der gesicherten Datenübertragung zu beschäftigen und diese in ihren digitalen Datenprozess zu integrieren. Nicht zuletzt durch Medienberichten von gestohlenen Kreditkartendaten oder angegriffenen Magento-Shops ist das Thema Datensicherheit wieder in aller Munde. Aber nicht nur der Gesetzgeber verpflichtet Unternehmen, technische Vorkehrungen zu treffen – auch Google nimmt Seitenbetreiber in die Pflicht.

Wir geben in diesem Artikel einen kurzen Überblick über die rechtlichen und technischen Hintergründe rund um Webseiten-Verschlüsselung und zeigen, wie einfach es sein kann, seinen Verpflichtungen nachzukommen und sein Google Ranking möglicherweise zu verbessern.

 

Exkurs: Was ist eine Verschlüsselung und warum ist sie sinnvoll?

Die Datenübermittlung von Server auf Webseiten erfolgt über ein Protokoll, welches als HTTP sichtbar wird. Dieses „HyperText Transfer Protocol“ regelt den Datenaustausch zwischen Server und Browser des Nutzers. Dies umfasst eben nicht nur die Datenübertragung vom Server auf den Bildschirm des Webseitenbesuchers, sondern auch die Übermittlung von Daten, die auf der Webseite erfasst werden, wie z.B. in Formularen gängig. Das Protokoll ist jedoch nicht verschlüsselt, so dass es unbefugten Dritten leicht möglich ist, aus dem Datenverkehr vom Browser zurück zum Server persönliche Daten mitzulesen. Insbesondere bei der Versendung von sensiblen Informationen ist diese unverschlüsselte Übertragung äußerst problematisch. An dieser Stelle sorgt ein Sicherheitszertifikat für die notwendige Absicherung, die SSL-Sicherheit, Transport Layer Security (TLS, deutsch Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL). Es ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Das Sicherheitsverfahren sorgt dafür, dass Daten, die im Webbrowser eingegeben werden, auf dem Weg der Übermittlung zum Server verschlüsselt werden. So einfach – so sicher.
 

Exkurs: Rechtliche Verpflichtung:

Diensteanbieter (Webseiten- und Shopbetreiber) sind verpflichtet, personenbezogene Daten auf Grundlage des Telemediengesetz (TMG) vor unerlaubten Zugriffen zu schützen. Dieses Gesetz wurde im August 2015 um das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ erweitert. Darin enthalten sind neue Pflichten definiert, Nutzerdaten entsprechend dem Stand der Technik zu schützen. Auch wenn das Gesetz keine Technik explizit vorschreibt, zielt die Formulierung…

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“ (Quelle: §13 TMG auf Dejure.org)

…auf Verschlüsselungstechnologie ab. Es ist inzwischen kein technisches Hexenwerk mehr, das Onlineangebot mit einem entsprechenden SSL/TLS-Zertifikat zu sichern. So einfach – so sicher.

 

so zeigen Firefox, Chrome und Safari SSL/TLS-gesicherte Seiten an

 

Google macht Druck:

Google hat bereits 2014 in seinem Webmaster Central Blog angekündigt, dass https zu einem Ranking-Kriterium wird.

For these reasons, over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We’ve seen positive results, so we’re starting to use HTTPS as a ranking signal.

Quelle: Google Webmaster Central Blog

Webseiten, die Besuchern ungenügende Sicherheit bieten, werden in den Suchergebnissen zukünftig benachteiligt. Somit sind neben Shopbetreibern, bei denen man davon ausgehen sollte, dass diese zumindest ihren Checkout-Prozess TLS-gesichert haben, auch alle anderen Anbieter von Webseiten gefordert, ein entsprechendes Sicherheitszertifikat zu aktivieren. So einfach – so wichtig.

Hostinganbieter, wie hier z.B. Domainfactory, bieten verschiedene SSL-Zertifikate an

 

SSL im Handumdrehen eingerichtet:

Hat man bei seinem Hoster ein SSL-Zertifikat bestellt und dieser hat es aktiviert, gilt es auf http eingehende Anfragen mit 301-Weiterleitung auf https umzuschreiben. Dies kann mit folgendem Eintrag in der .htaccess erfolgen:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Mit den o.g. Zeilen schreibt man eine URL auf https um. Aus http://www.netzkombyse.de wird damit https://www.netzkombyse.de. Der Code verhindert eine Schleife, da dieser nur für Anfragen ohne https greift.

Nachdem man das Zertifikat aktiviert hat, gilt es die URLs auch in den Suchindexen anzupassen. Dazu hinterlegt man in der Search Konsole von Google die neue Seite mit „https“ und bestätigt anschließend die Inhaberschaft.

Im Anschluß daran erzeugt man im Shop oder der Webseite die Sitemap und reicht diese in der Search Konsole ein. So erfährt Google aktiv von der Veränderung der Absicherung.

 

Fazit:

Gesetzgeber hin, Google her: Es sollte nicht nur dem Interesse nach einem besseren Ranking bei Google geschuldet sein, dass Webseitenbetreiber SSL/TLS-Zertifkate aktivieren für ihre Online-Angebote aktivieren. Die Gewährleistung von sicherer Datenübertragung gehört mittlerweile zum Standard professioneller Onlinekommunikation. Die technischen Grundlagen sind mittlerweile vorhanden und stellen keinen Hinderungsgrund mehr dar, Endkunden auf eine ungesicherte Seite zu schicken.

Titelbild: Rubén Bagüés / unsplash

  1. Jörn Hendrik Ast

    Unfassbar. Ich wollte gerade danach googeln und da sehe ich deinen Posts. Krasses targeting. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

6 − vier =