Das Wichtigste in Kürze:
- HTTPS ist seit 2014 ein offizieller Google-Ranking-Faktor
- Browser warnen Nutzer aktiv vor unsicheren HTTP-Websites
- Die Umstellung erfordert sorgfältige Planung, um Rankings nicht zu gefährden
Das kleine Schloss-Symbol in der Browser-Adresszeile ist mehr als nur ein visuelles Element. Es signalisiert Besuchern, dass ihre Verbindung verschlüsselt ist, dass ihre Daten geschützt werden. Für Google ist es ein Vertrauenssignal, das in die Rankings einfließt.
Websites ohne HTTPS stehen heute vor einem doppelten Problem: Browser wie Chrome markieren sie als "Nicht sicher", was Besucher abschreckt. Gleichzeitig bevorzugt Google verschlüsselte Websites in den Suchergebnissen. Wer noch auf HTTP setzt, verliert also auf beiden Fronten.
Wie SSL und HTTPS funktionieren
SSL steht für Secure Sockets Layer – ein Protokoll zur Verschlüsselung von Daten zwischen Browser und Webserver. Der modernere Nachfolger heißt TLS (Transport Layer Security), wird aber umgangssprachlich weiterhin als SSL bezeichnet.
Wenn ein Besucher eine HTTPS-Website aufruft, passiert Folgendes: Der Browser fordert das SSL-Zertifikat des Servers an. Er prüft, ob das Zertifikat gültig und von einer vertrauenswürdigen Stelle ausgestellt wurde. Dann wird eine verschlüsselte Verbindung aufgebaut, über die alle Daten fließen.
Diese Verschlüsselung schützt vor verschiedenen Angriffen. Man-in-the-Middle-Attacken, bei denen Angreifer den Datenverkehr abfangen, werden verhindert. Passwörter, Kreditkartendaten und persönliche Informationen bleiben vertraulich. Ohne Verschlüsselung kann jeder im gleichen Netzwerk – etwa in einem öffentlichen WLAN – den Datenverkehr mitlesen.
HTTPS als Ranking-Faktor
Google hat HTTPS im Jahr 2014 offiziell zum Ranking-Signal erklärt. Die Begründung war eindeutig: Sicherheit im Web sollte Standard sein, nicht Ausnahme. Seitdem bevorzugt der Algorithmus verschlüsselte Websites gegenüber unverschlüsselten.
Wie stark wirkt sich HTTPS auf Rankings aus? Als einzelner Faktor ist der Einfluss moderat. Google selbst bezeichnete es anfangs als "leichtes Signal". Aber im Zusammenspiel mit anderen Faktoren kann es den Unterschied machen. Bei zwei ansonsten gleichwertigen Seiten gewinnt die mit HTTPS.
Der indirekte Einfluss ist möglicherweise stärker. Nutzer, die eine "Nicht sicher"-Warnung sehen, verlassen die Seite häufiger. Die Bounce Rate steigt, die Verweildauer sinkt. Diese User Signals wirken sich ebenfalls auf Rankings aus.
Arten von SSL-Zertifikaten
Nicht alle SSL-Zertifikate sind gleich. Sie unterscheiden sich in Validierungstiefe, Preis und Vertrauensniveau.
| Zertifikatstyp | Validierung | Für wen geeignet |
|---|---|---|
| Domain Validated (DV) | Nur Domain-Inhaberschaft | Blogs, kleine Websites |
| Organization Validated (OV) | Domain + Unternehmensidentität | Geschäftswebsites |
| Extended Validation (EV) | Umfassende Unternehmensprüfung | Banken, Online-Shops |
Domain-Validated-Zertifikate sind am schnellsten und günstigsten zu bekommen. Let's Encrypt bietet sie kostenlos an. Die Validierung erfolgt automatisch – Sie beweisen lediglich, dass Sie die Domain kontrollieren.
Organization-Validated-Zertifikate erfordern eine Prüfung Ihrer Unternehmensidentität. Das dauert länger und kostet mehr, signalisiert Besuchern aber zusätzliches Vertrauen.
Extended-Validation-Zertifikate durchlaufen die strengste Prüfung. Früher wurde der Unternehmensname grün in der Adresszeile angezeigt – dieses visuelle Merkmal haben moderne Browser allerdings entfernt.
Die Umstellung auf HTTPS richtig planen
Eine HTTPS-Migration ist technisch gesehen ein Domainwechsel. Alle URLs ändern sich von http:// zu https://. Ohne sorgfältige Planung können Rankings und Traffic verloren gehen.
Der erste Schritt ist das Inventar. Listen Sie alle URLs auf, die umgestellt werden müssen. Nicht nur die Hauptseiten, auch Bilder, Scripts, Stylesheets und andere Ressourcen. Eine XML-Sitemap kann als Ausgangspunkt dienen.
Dann konfigurieren Sie das SSL-Zertifikat auf Ihrem Server. Die genauen Schritte hängen vom Hosting-Anbieter ab – viele bieten mittlerweile One-Click-Installationen für Let's Encrypt an.
Nach der Installation müssen Sie Weiterleitungen einrichten. Jede HTTP-URL muss per 301-Redirect auf die HTTPS-Version weiterleiten. Das gilt auch für die www- und non-www-Varianten Ihrer Domain. Mehr zu Weiterleitungen finden Sie in unserem Leitfaden.
Mixed Content vermeiden
Ein häufiges Problem nach der Umstellung: Mixed Content. Die Seite selbst lädt über HTTPS, aber eingebettete Ressourcen wie Bilder oder Scripts werden noch über HTTP geladen. Browser blockieren solche Ressourcen oder zeigen Warnungen an.
Prüfen Sie alle internen Links und eingebetteten Medien. Relative URLs sind sicherer als absolute, weil sie automatisch das richtige Protokoll verwenden. Statt "http://example.com/bild.jpg" schreiben Sie besser "/bild.jpg" oder "//example.com/bild.jpg".
Externe Ressourcen wie eingebettete Fonts, Analytics-Scripte oder Social-Media-Widgets müssen ebenfalls HTTPS unterstützen. Die meisten großen Anbieter tun das längst – aber ältere Einbettungen könnten noch HTTP verwenden.
Browser-Entwicklertools helfen bei der Diagnose. Die Console zeigt Mixed-Content-Warnungen an und nennt die problematischen URLs.
Canonical Tags und interne Verlinkung aktualisieren
Nach der Umstellung müssen alle Verweise auf die neuen HTTPS-URLs zeigen. Das betrifft vor allem Canonical Tags. Wenn eine HTTPS-Seite ein Canonical auf die HTTP-Version hat, sendet das verwirrende Signale an Google.
Überprüfen Sie auch die interne Verlinkung. Idealerweise sollten alle internen Links direkt auf HTTPS verweisen, ohne den Umweg über eine Weiterleitung. Das spart Server-Ressourcen und beschleunigt das Crawling.
Die robots.txt und XML-Sitemap müssen ebenfalls aktualisiert werden. Die Sitemap sollte nur noch HTTPS-URLs enthalten. In der robots.txt können Sie explizit auf die HTTPS-Sitemap verweisen.
In der Google Search Console verifizieren
HTTPS und HTTP gelten für Google als unterschiedliche Properties. Nach der Umstellung müssen Sie die HTTPS-Version Ihrer Website in der Google Search Console neu hinzufügen und verifizieren.
Reichen Sie die aktualisierte Sitemap ein. Beobachten Sie in den folgenden Wochen die Indexierung. Es ist normal, dass Rankings kurzzeitig schwanken, während Google die neue Struktur verarbeitet.
Achten Sie auf Fehler in den Berichten. Wenn Google auf gemischten Content oder fehlende Weiterleitungen stößt, erscheinen entsprechende Hinweise.
Performance-Auswirkungen
Ein verbreitetes Vorurteil: HTTPS macht Websites langsamer. Das stimmte vielleicht vor zehn Jahren. Heute ist das Gegenteil der Fall.
HTTP/2, das modernste HTTP-Protokoll, funktioniert nur mit HTTPS. Es bietet erhebliche Performance-Vorteile durch Multiplexing, Header-Komprimierung und Server-Push. Eine HTTPS-Website mit HTTP/2 ist oft schneller als eine HTTP-Website mit HTTP/1.1.
Der SSL-Handshake kostet minimal Zeit – typischerweise wenige Millisekunden. Dieser Overhead wird durch die Vorteile von HTTP/2 mehr als ausgeglichen. Weitere Tipps zur Website-Geschwindigkeit finden Sie in unserem Performance-Guide.
Häufige Fehler bei der Umstellung
Die Umstellung verläuft nicht immer reibungslos. Einige Fehler treten regelmäßig auf und lassen sich vermeiden.
Vergessene Weiterleitungen sind das größte Problem. Wenn nicht alle HTTP-URLs weiterleiten, entstehen Duplicate-Content-Probleme. Google sieht dann zwei Versionen jeder Seite und muss entscheiden, welche kanonisch ist.
Ablaufende Zertifikate sind peinlich und gefährlich. Browser zeigen dramatische Warnungen an, die Besucher verscheuchen. Richten Sie automatische Erneuerung ein oder setzen Sie Kalender-Erinnerungen.
Falsche Zertifikatskonfiguration betrifft oft Subdomains. Ein Zertifikat für example.com gilt nicht automatisch für www.example.com oder blog.example.com. Wildcard-Zertifikate (*.example.com) lösen dieses Problem.
Testen Sie Ihre SSL-Konfiguration mit dem SEO-Analyzer und prüfen Sie, ob Ihre Website alle technischen Anforderungen erfüllt.
Häufig gestellte Fragen
Brauche ich HTTPS auch ohne Login oder Zahlungsabwicklung?
Ja. Google macht keinen Unterschied zwischen Websites mit und ohne sensiblen Daten. Alle Websites profitieren vom Ranking-Boost und dem Vertrauenssignal des Schloss-Symbols. Browser warnen vor allen HTTP-Seiten, nicht nur vor denen mit Formularen.
Was kostet ein SSL-Zertifikat?
Von kostenlos bis mehrere hundert Euro pro Jahr. Let's Encrypt bietet kostenlose DV-Zertifikate, die für die meisten Websites ausreichen. Teurere Zertifikate bieten erweiterte Validierung oder Zusatzversicherungen, die für Unternehmen relevant sein können.
Kann ich ein Zertifikat selbst installieren?
Bei vielen Hosting-Anbietern ja. Die meisten bieten One-Click-Installationen für Let's Encrypt an. Bei komplexeren Setups oder wenn Sie volle Kontrolle über den Server haben, ist etwas technisches Wissen erforderlich. Im Zweifel unterstützt der Hosting-Support bei der Einrichtung.