Grundvoraussetzung für die Umstellung eines Webauftritts vom HTTP- auf das HTTPS-Protokoll, also von http://meineseite.de/ auf https://meineseite.de/ ist ein gültiges SSL-Zertifikat.
Varianten
- Zum einen gibt es die einfache Domain-Validierung (SSL123) für etwa 120 EUR pro Jahr. Dabei wird „nur“ überprüft, ob der Domainname ordnungsgemäß registriert ist. Dies geschieht wenn die Zertifizierungsstelle eine E-Mail an z.B. den Postmaster von „meineseite.de“ schickt, und der Empfang dann bestätigt werden muss.
- Eine erweiterte Form, ist die Validierung des Inhabers der Domain (SSL-Webserver) für – je nach Anbieter – rund 200 Euro und mehr pro Jahr. Hierbei wird vom Aussteller des Zertifikats überprüft, ob es das Unternehmen oder die Person, der die Domain gehört, auch wirklich in der angegebenen Form gibt.
- Es gibt auch kostenlos zu realisierende Alternativen. Von einigen Hostern, werden SSL-Zertifikate auch als Inklusivleistungen mit verkauft. Auf beides wird an dieser Stelle jedoch nicht näher eingegangen. Der Vollständigkeit halber sollen sie aber nicht ungenannt bleiben
Umsetzung und SEO-Relevanz
Liegt das SSL-Zertifikat vor, kann man im Apache einen Redirect von http://meineseite.de/ auf https://meineseite.de/ einrichten. Dabei sollte man sich vorher u.a. über Best Practices von Umleitungen für das Suchmaschinenmarketing informieren. Falsch konfigurierte Server können z.B. dem Google PageRank empfindlichen Schaden zufügen.
Ein Beispiel, wie man das per .htaccess lösen kann:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Probleme/Folgen
Das CMS WordPress beispielsweise, legt Links auf Artikel usw. mit der kompletten URL (also „http://“) in der Datenbank ab. Daher ist es sehr aufwendig den Auftritt umzustellen. Zunächst muss diese Ablagelogik geändert werden. Des Weiteren empfiehlt es sich, z.B. auf einer eigens eingerichteten Testumgebung, zu prüfen, wie sich diese Änderung auf den laufenden Betrieb des Produktivsystems auswirkt. Außerdem wird SSL nicht von jedem Plugin unterstützt. Weitere Faktoren wären zu eruieren. Wer z.B. Piwik auf einer gesonderten Domain oder Subdomain betreibt, muss sicherstellen, das diese künftig auch unter „https://“ läuft, andernfalls klappt die Erfassung nicht mehr.
Grundsätzliches Vorgehen am Beispiel des CMS WordPress
- SSL-Zertifikat ausstellen
- In den allgemeinen Einstellungen von WordPress die URL von http:// auf https:// umstellen
- Ebenfalls in den Einstellungen die Permalinks aktualisieren
- Redirect von http:// auf https:// einrichten
- In der Datenbank per Suchen und Ersetzen die alten URLs austauschen
- Die wp-config.php anpassen, damit das Backend nur über SSL aufrufbar wird
- In der Konsole prüfen, ob alle Inhalte über https:// geladen werden (andernfalls kann es zu Mixed Content Warnungen kommen)
Pixolin meint
Unter https://pixolin.de/umstellung-auf-https/ gibt es eine ausführliche Anleitung die step by step die Umstellung für WordPress zeigt.