HTTPS & SEO: Bringt SSL einen Ranking Boost?

Uns erreichen im Agenturalltag häufiger Fragen, die spezifische SEO-Themen aufgreifen. Wir wollen diese Fragen hier regelmäßig beantworten.

Heute greifen wir die erste Frage auf: Bringt SSL einen Ranking Boost?

In der SEO-Welt wird schon seit einiger Zeit darüber spekuliert inwiefern HTTPS & SEO zusammenspielen. Einige gehen von stärkeren Effekten aus, andere ignorieren das Thema mit stoischer Gelassenheit.

HTTPS und SEO: das Zünglein an der Waage

Die Management-Summary für diese Frage lässt sich kurz und knapp zusammenfassen:

1. Ja, HTTPS ist wichtig, nutzt alle SSL!
2.Jein, HTTPS ist zwar ein Ranking-Signal und bringt in bestimmten Situationen ein Plus beim Ranking, jedoch sind diese Fälle in der Praxis allerdings recht überschaubar.
3.Nein, HTTPS darf nicht kopflos angeschaltet werden! Falsch gemacht, schadet es mehr, als es nützt.

Was ist eigentlich SSL bzw. HTTPS?

„Normaler“ Webtraffic via HTTP ist nicht verschlüsselt, d.h. wenn ein potentieller Angreifer zuschaut sieht er alle übermittelten Daten und Passwörter im Klartext. Das ist umso dramatischer bei der Vorstellung, dass eine normaler Browser-Anfrage meist um die halbe Welt reist und dabei sehr viele Computer involviert sind. Mittels HTTPS (HyperText Transfer Protocol Secure) und SSL (Secure Socket Layer) kann hingegen eine gesicherte Verbindung zwischen dem Browser und einem Webserver aufgebaut werden.  Der Webmaster bindet in seinem Webserver ein SSL-Zertifikat ein und damit kann die gesamten Datenverbindung verschlüsselt werden – dann können Angreifer nicht mehr ohne weiteres mitlesen. Google hat im Jahr 2014 verkündet, dass sie verschlüsselte Webseiten in Zukunft einen kleinen Vorteil beim Ranking geben wollen.

Die Qualität geht immer vor

Jüngst hat sich der Google Webmaster Trends Analyst Gary Illyes zum Thema geäußert und den Sachverhalt etwas relativiert. Laut Google verhält es sich da so: Angenommen es gibt 2 Websites, die für ein Keyword gleich relevant sind und alle Qualitäts-Signale gleich gut erfüllen. Dann hat die Website mit angeschaltetem HTTPS einen kleinen Vorteil und rutscht einen Platz höher. Es ist also eher ein Faktor, der in bestimmten Situationen ein Plus ausmachen kann, wenn die restliche Ranking Faktoren optimal ausgeschöpft sind. Konkret heißt das: Erst kommt die Qualität,  dann kommt lange nichts und dann am Ende kommt irgendwann mal HTTPS. Konzentriert euch also als Erstes auf gute Texte, denn ohne diese hat man bei SEO-Aktivitäten eh verloren.

„If you’re in a competitive niche it can give you an edge from Google’s point of view. [HTTPS] acts more like are tie breaker. For Example: If all quality signals are equal for two results, than the one that is on HTTPS would get or may get the extra boost.“ (hier findet die Stelle im Interview)

Google hat sich vor einiger Zeit schon einmal dazu geäußert und bestätigt, dass HTTPS als minimaler Ranking-Faktor „weniger als 1 % der weltweiten Suchanfragen betrifft“.

SSL-Implementierung mit Tücken

HTTPS sollte heute – nach POST-Snowden – zum weit verbreiteten Standard gehören. Denn je mehr verschlüsselt wird, desto schwerer und teurer ist es für NSA, Bösewichte und Co. Aber aufgepasst: Es ist recht tückisch hier eine State-of-the-Art-Implementierung hinzubekommen:

a) HTTPS muss technisch richtig implementiert werden – d.h. man braucht die korrekten Zertifikate, die richtige Verschlüsselung, eine saubere Server-Konfiguration. Die eigene Konfiguration kann man z.B. durch Tools wie z.B. SSL-Labs testen. Es gab jüngster Zeit einige schwerwiegende Sicherheitslücken, die die SSL-Welt erschüttert haben: Hier gab es beispielweise Heartbleed, Poodle oder auch Goto Fail. Darüber hinaus wurde durch Snowden & Co. bekannt, wie unsicher einige Verschlüsselungstechniken sind.

b) Aus SEO-Sicht gibt es hier auch einige Tücken, da eine falsch implementiertes SSL-Konfiguration auch Duplicate Content verursachen kann (wenn der Content versehentlich über mehrere URLs oder sogar (Sub-)Domains erreichbar ist). Darüber hinaus muss man auf Weiterleitungen achten, wenn man z.B. die Website nur via HTTPS-Only erreichen kann und die Weiterleitungen (301) nicht eingerichtet wurden, laufen die wertvollen Backlinks ins Leere. Und so wird aus einem erwartetet Ranking Boost ein SEO-Alptraum.

Konkrete Tipps für SSL & SEO – was muss beachtet werden?

Die Geschwindigkeit der Seite im Auge behalten 
Eine verschlüsselter Verbindungs-Aufbau braucht durch einen SSL-Handshake mehr Zeit. Ein minimaler Geschwindigkeitsverlust ist generell nicht problematisch, zumal durch neue Technologien und Code-Komprimierung die Seitengeschwindigkeit eh optimiert werden sollte. Allerdings: Wenn die Seitengeschwindigkeit durch eine schlechte Konfiguration extrem ausgebremst wird, muss man mit einem spürbaren Ranking-Verlust rechnen.

Umleitungen korrekt einrichten / Canonical richtig setzen
Die alten HTTP-URLs sollten mittels 301 in der htaccess-Datei auf die neue HTTPS-Version umgeleitet werden, so dass im Index kein Wirr-Warr von verschiedenen Versionen existiert. Falsche oder vergessene Weiterleitung schaden im Zweifelsfall, erzeugen Duplicate Content und dann wird aus dem versprochenen Gewinn, ein satter Verlust. Ebenso müssen die Canonicals auf die entsprechende HTTPS-Version umgestellt werden.

Interne Verlinkung kontrollieren
Es sollte vor der Umstellung die Verlinkungs-Struktur überprüft werden – hier muss überprüft werden, ob die internen Links auch auf die HTTPS-Version verweisen. Es ist generell sinnvoll, relative URLs/Links zu verwenden – denn dann bleibt man auf der richtigen Seite unterwegs. Das hilft übrigens auch bei einem Domain-Umzug.

Gültige und robuste SSL-Zertifikate nutzen
Die SSL-Zertifikate von „seriösen“ Anbietern stammen – sog. Zertifizierungsstellen oder auch Root Certificate Authority. Diese Root CA’s sind  in allen gängigen Browser als vertrauenswürdige Zertifizierungsstellen hinterlegt und sorgen bei den Usern dafür, dass keine Fehlermeldungen angezeigt werden. Es muss darauf geachtet werden, dass die SSL-Zertifikate für alle benötigten (Sub-)-Domains gültig sind. Ein SSL-Zertifikat muss außerdem ein Mindeststandard an Verschlüsselung bieten: Momentan sollte man mindestens einen 2.048-Bit-Schlüssel erstellen. Darüber hinaus haben SSL-Zertifikate nur eine bestimmte zeitliche Gültigkeit und müssen dann erneuert werden. Die Kosten für solche SSL-Zertifikate liegen zwischen 0 und 1000€ – je nach Umfang und benötigten Dienstleistungen ist das Spektrum groß. Es ist also ein fortlaufender Kostenfaktor und nicht nur eine einmalige Umstellung. Für die kleine und kostenlose Lösung können wir die Zertifikate von Startcom empfehlen.

Update Oktober 2016: Durch aktuelle Entwicklungen können wir Startcom nicht mehr empfehlen. Stattdessen funktioniert Let’s encrypt mittlerweile ausgezeichnet und lässt sich relativ einfach implementieren.

Weitere ausführliche Tipps zum Thema SSL und SEO gibt das Google Webmaster-Team.

FAZIT: Richtig Machen 🙂

Wir haben gelernt: HTTPs ist super! Jedoch muss die SSL-Implementierung sauber und ordentlich gemacht werden – einfach anknipsen gibt es hier nicht. Das ist mit Aufwand und Kosten verbunden – da ist ein Profi gefragt. 😉

Es gibt aber auch Licht am Ende des Tunnels: Es formiert sich momentan eine neue NGO, die Verschlüsselung für die breite Masse kostenlos und möglichst einfach machen will. Bei Let’s encrypt gibt es zukünftig mittlerweile kostenlose! Zertifikate und eine einfache Implementierungshilfe, die es für die breite Masse leichter anwendbar machen soll. Das haben sie zumindestens neulich auf einem Vortrag auf dem Chaos Communication Camp erneut bekräftigt. Wir sind gespannt.

Mehr zum Thema Online Marketing

(Danke an Dave Meier und Picography für das Bild unter cc0)

Wir freuen uns auf Ihre Anfrage.
Me
Zur
ück
Kon
takt