Kontakt

Https und http/2: Die neuen Protokolle

von Michael Schöttler

Kategorie(n): Themenseiten Datum: 1. Juni 2016

04.04.2016: John Mueller über http/2

Eine Frage wird von Webmastern momentan häufig gestellt: Sollte ich auf meiner Website http/2 verwenden? Und wenn ja, was muss ich dafür genau tun. Außerdem fragen sich SEOs in diesem Zusammenhang natürlich, wie sich eine solche Umstellung auf das Ranking auswirken würden. Hier haben wir die Antworten.

Was ist http/2?

http/2 wurde unter Federführung von Google und Microsoft entwickelt, um auf lange Sicht das http Modell abzulösen. Es ist besser auf das heutige Web zugeschnitten. Während unter http viele Dinge mittlerweile mit Workarounds gelöst werden müssen, fallen diese bei http/2 nahezu komplett weg. Daraus folgt, dass http/2 Applikationen wie Websites einfacher, schneller und robuster machen kann. Es eröffnet damit neue Möglichkeiten im Hinblick auf die Optimierung von Websites. Damit sollen Verzögerungen verringert werden. Die Semantik von http bleibt dabei intakt und es sind bei der Einbindung keine Weiterleitungen von Nöten.

Was sind die Voraussetzungen für http/2?

John Mueller hat auf Google+ eine kleine Übersicht zum Thema http/2 geteilt. Hier geht er unter anderem auf die Frage ein, was für Voraussetzungen erfüllt sein müssen, um http/2 einzusetzen. Wichtig ist dabei, dass immer mehr Server es unterstützen, einer sofortigen Einbindung steht daher nichts im Wege. http2 Eine zentrale Voraussetzung für viele Browser ist es jedoch, dass die Website über eine verschlüsselte Verbindung läuft. Bevor man auf http/2 umstellt, sollte man also zunächst auf https wechseln. Natürlich kann man auch beide Wechsel zeitglich vollziehen. John weist daher darauf hin, dass vor allem die Kombination aus beiden eine wirkliche Wirkung entfacht.

Was sind die SEO-Einflüsse von http/2?

Wie gesagt sind für http/2 (im Gegensatz zu https) keine Umleitungen nötig. Denn es entstehen keine neuen URLs und die eingehenden Links können daher einfach belassen werden. Auch das Markup kann gleich bleiben, ebenso die Einstellungen in Search Console. Es ist zudem für Nutzer und Crawler unterstützt. Laut John hat http/2 daher keine Einflüsse auf die Suchmaschinenoptimierung. Im Gegensatz zu https gibt es auch keinen positiven Ranking-Boost durch die Implementierung. Aus SEO-Gesichtspunkten spricht daher nichts gegen die Nutzung von http/2, Webmaster können daher beruhigt schauen, ob es für ihr Angebot Sinn ergibt.

03.03.2016: http/2 als Rankingfaktor?

John Mueller wurde auf Twitter gefragt, ob neben HTTPS auch http/2 mittlerweile einen Raankingfaktor darstellt. Laut seiner Aussage sorgt diese Technologie jedoch momentan nicht für einen Rankingboost. Durch den indirekten Effekt, dass es eine Website besser macht, habe es aber nichtsdestotrotz einen kleinen Einfluss. Dafür müsse laut John aber vor allem auch der Inhalt stimmen, nicht nur die technischen Details. Sowie wir Google kennen, könnte sich diese Ansicht aber bald Ändern. Wenn der Konzern merkt, dass nicht genug Seitenbetreiber http/2 implementieren, könnte es ganz schnell zum neuesten Rankingfaktor werden. http2

01.02.2016: http ist unsicher

Mit Hilfe von Google Chrome treibt Google sein Ziel, so viele Seiten wie möglich auf HTTPS wechseln zu lassen, weiter voran. Denn bald werden http-Seiten von Chrome als unsicher eingestuft. http unsafe Sie werden dadurch mit Seiten, die ein unwirksames oder kaputtes HTTPS-Zertifikat aufweisen, gleichgestellt. Über kurz oder lang wird also für Webmaster kein Weg mehr an einer Umstellung auf HTTPS verbeiführen. http unsicher

15.01.2016: Google cached in HTTPS

Wenn eine Website HTTPS nutzt, werden die gecacheten Seiten künftig über eine sichere Verbindung übermittelt. Damit wird eine Sicherheitslücke geschlossen, denn bislang wurde der Cache über eine normale Verbindung angeboten. Eine solche Änderung macht fraglos Sinn. Da Google einen immer größeren Wert auf HTTPS legt, sollte der Konzern selbst bei der Einführung nicht zurückstehen. Dieses Feature befindet sich zur Zeit im Rollout, ist aber noch nicht überall Live. cache

07.01.2016: Self-Signed Certificates

Unter Webmastern und SEOs ist es eine immer wieder aufkommende Frage: Welche HTTPS-Zertifikate sind für Google ok – und welche nicht. Diesmal geht es dabei um Self-Signed Certificates. Diese werden meist von der Einheit, die sie zertifizieren, auch selbst gegengezeichnet – sie unterliegen also keiner Qualitätskontrolle von außerhalb. Deshalb werden sie von Browsern oft als ungültig angesehen. Laut John Mueller orientiert sich Google dann an dem, was die Browser sagen. Funktioniert ein Zertifikat also im Browser, dann ist es auch für Google annehmbar. Die Frage für Google ist nur: Gültiges HTTPS oder nicht?

04.01.2016: HTTPS und HSTS

Google ist seit einiger Zeit bestrebt, den Aufenthalt im Internet so sicher wie möglich zu gestalten. Neben der Implementierung von HTTPS ist hier vor allem HSTS als wichtiger Baustein zu nennen. Denn mit dem http Strict Transport Security System soll verhindert werden, dass sich Hacker in die Kommunikation zwischen Nutzer und Website einschalten. Zwar gibt es einige datenschutzrechtliche Bedenken, aber der Sicherheitsaspekt verleiht dem HSTS großes Gewicht.

Wie wird richtig weitergeleitet?

HSTS wird im Header angezeigt. Und laut Zineb Ait erkennt der Googlebot nach der Einrichtung eine entsprechende 301-Weiterleitung. Dies kann jeder Webmaster einfach per Fetch as Google nachvollziehen. hsts Viele Nutzer sind jedoch verwirrt, da Chrome in solchen Fällen eine 307-Weiterleitung anzeigt. Sie fragen sich daher, ob diese auch alle Signale vernünftig weitergeben – oder ob hier etwas falsch gemacht wurde.

307 als Platzhalter

Laut John Mueller ist dies jedoch kein Problem. Denn die 307 ist gar keine Weiterleitung, sondern nur ein Platzhalter für die eigentliche 301-Weiterleitung. Der Server gibt keine 307 zurück, sondern nur Chrome zeigt diese an. Damit verdeutlicht der Browser, dass er die Weiterleitung für den Nutzer vornimmt. Die 307 nimmt dabei keinen Speicherplatz weg – daher brauchen sich Webmaster um diese Zahlenkombination nicht weiter kümmern. hsts mueller

04.01.2016: Fehlerfreie Weiterleitungen zu HTTPS

Weiterleitungen sind, wenn man den Aufbau einer Website verändert, von zentraler Bedeutung. Daher haben viele Webmaster beim Wechsel zu HTTPS großen Respekt vor ihnen – denn schon kleine Fehler können hier zu großen Problemen führen. Hier einige Aussagen von Googlern, welche die Gemüter etwas beruhigen sollten.

Wird “Autorität” weitergegeben?

Eine Frage, die im Zusammenhang mit der Umstellung von http zu HTTPS immer wieder aufkommt: Verlieren die Seiten an Autorität, beziehungsweise geht bei der Weiterleitung Linkjuice verloren? Die Antwort hierzu ist und bleibt nein. Gary Illyes bestätigt, dass sämtliche Signale 1:1 weitergegeben werden sollten. Wenn nicht, solle man sich an Google wenden, damit nach einem Fehler gesucht werden kann. Wichtig ist jedoch, dass die Weitergabe etwas dauern kann – dies kann zu kurzfristigen Schwankungen im Ranking führen. illyes redirect

Verliert man etwas?

Wenn es die Möglichkeit gibt, indexiert Google nun bekanntlich die HTTPS-Version einer Seite automatisch. Webmaster haben daher natürlich Angst, dass Seiten, die noch nicht fachgerecht weitergeleitet wurden, darunter leiden könnten. Diese Angst ist laut John Mueller jedoch unbegründet. Denn wenn Google die Duplikate aus http und HTTPS erkennt, verhält sich die Suchmaschine genau so, wie sie es bei Duplikaten aus www. und non-www. tut. Die Signale werden also zusammengefasst – und auch ohne Redirects geht nichts verloren. verlust

22.12.2015: Google und die Sicherheit

Eines der zentralen Ziele von Google ist es, die Websuche so sicher wie möglich zu gestalten. Daher gibt es Dinge wie HTTPS und http/2. Und auch einige andere Vorhaben werden weiter umgesetzt – hier findet ihr alle Details dazu.

http/2 oder HTTPS?

Soll man eher http/2 oder HTTPS nutzen? Diese Frage wurde John Mueller auf Twitter gestellt. Und der Webmaster Trends Analyst hatte eine passende Antwort parat, die jedoch bei vielen Webmastern zu zusätzlicher Arbeit führen dürfte. http2 https Denn John stellte die rhetorische Frage: “Warum nicht beide?”. Damit ist klar, dass Google es am liebsten sehen würde, dass Websites nicht nur von http auf HTTPS umsteigen, sondern zusätzlich auch http/2 nutzen.

SHA-1 Zertifikate

Schon seit mehr als einem Jahr werden SHA-1 Zertifikate nicht mehr als sicher angesehen – nicht nur von Google, sondern auch von anderen Anbietern wie Microsoft und Mozilla. Ab dem nächsten Jahr werden die entsprechenden Browser Chrome, Edge und Firefox nun aufhören, dieses Zertifikat zu unterstützen. Über das nächste Jahr wird der Support dabei schrittweise zurückgefahren. Zunächst werden nur alle neuen SHA-1 Zertifikate blockiert – und ab dem 01. Januar 2017 soll dies dann auf alle vorhandenen SHA-1 Zertifikate ausgeweitet werden. sha-1

Neuer Statuscode

Nicht von Google, aber trotzdem für die Sicherheit von Websites interessant: Es gibt einen neuen Web Statuscode. Dieser 451 Code ersetzt den 403 Forbidden Code in allen Fällen, in denen die Website auf einem guten Grund verboten ist. Denn in solchen Fällen handelt es sich um eine Seite, deren Inhalte zensiert wurden – zum Beispiel durch einen Gerichtsbeschluss. Dies kann Sinn machen, um dem Nutzer deutlicher zu machen, warum die von ihm besuchte Website nicht verfügbar ist.

18.12.2015: HTTPS-Seiten werden per default indexiert

HTTPS ist eines der Herzensthemen vieler Google-Mitarbeiter. Denn dadurch soll das Browsen im Web sicherer und privater werden. Daher gibt es für HTTPS-Seiten auch einen kleinen Ranking-Boost. Entsprechend folgt nun der nächste Schritt auf dem Weg, http langsam aber sicher durch HTTPS zu verdrängen. Denn ab sofortwird Google die HTTPS-Version einer Seite wann immer möglich über der http-Version anzeigen.

Suche nach HTTPS

Dies gilt auch dann, wenn der Webmaster nicht zwischen beiden Versionen verlinkt hat. Denn Google sucht nun eigenständig nach HTTPS-Entsprechungen von http-Seiten. Und wenn es diese findet, werden sie prioritisiert angezeigt. Dies geht natürlich nur, wenn die HTTPS-Version:
  1. keine unsicheren Abhängigkeiten enthält,
  2. nicht in robots.txt blockiert ist,
  3. den Nutzer nicht auf eine unsichere http-Seite weiterleitet,
  4. kein Canonical Tag zur http-Version hat,
  5. nicht auf Noindex gestellt ist,
  6. keine ausgehenden On-Host-Links zu http enthält,
  7. sie in der Sitemap steht, bzw. http nicht in der Sitemap steht
  8. und sie ein gültiges TLS-Zertifikat besitzt.
Trotz dieser Voraussetzungen sollten Webmaster weiterhin darauf achten, bei einer Umstellung auf HTTPS die neue Version per Weiterleitung an die erste Stelle zu manövrieren.

23.07.2015: HTTPS wirkt als Dealbreaker

Gary Illyes wurde bei Twitter gefragt, wie stark die Nutzung von HTTPS als Rankingfaktor einfließt. Seine Antwort ist wenig überraschend. Er erklärt, dass HTTPS mehr als eine Art Dealbreaker funktioniert. Wenn bei zwei Seiten alle anderen Rankingsignale mehr oder weniger gleich seien, und nur eine von ihnen HTTPS nutzt, dann würde diese höher gerankt werden als die Seite ohne HTTPS. illyes https

HTTPS als unumkehrbarer Trend

Diese Information ist nicht neu, auch John Mueller hat in mehreren Google Webmaster Hangouts bereits über dieses Thema gesprochen. Am 30.06. gab es beispielsweise folgenden Dialog: Frage: Wie wichtig ist es für einfache Seiten, die Dienstleistungen anbieten, zu HTTPS zu wechseln? Wird es irgendwann gefordert sein? Hat es Einfluss auf die aktuellen Rankings? Antwort: Wir nutzen HTTPS als kleines Rankingsignal – wenn wir also die Wahl zwischen zwei Seiten haben, wählen wir immer die, die HTTPS hat. Es ist keine Voraussetzung, aber ein meine Meinung nach unumkehrbarer Trend. Es macht also Sinn, dies auf lange Sicht zu nutzen. Da dieses Thema bei vielen Webmastern jedoch noch immer zu Verwirrungen zu führen scheint, macht es jedoch Sinn, dies immer wieder zu betonen.

21.07.2015: HTTPS weiter auf dem Vormarsch

Wir haben bereits mehrfach berichtet, dass Google die sichere Suche ein immer größeres Anliegen wird. Zum einen empfiehlt der Konzern, sämtliche Seiten zeitnah auf HTTPS umzustellen. Zum anderen wurde vor wenigen Tagen die „Sicheres Browsen“ Funktion erweitert. Diese Bemühungen scheinen nun von immer mehr Webseitenbetreibern aufgegriffen zu werden. illyes party

Die Top 10 Seiten sind alle HTTPS

Gary Illyes hat auf Google+ eine kleine Feier abgehalten. Der Grund: Die Top 10 Seiten in Search Console (nach Impressionen) laufen nun ausschließlich über HTTPS. Die erfolgreichsten Seitenbetreiber haben also alle die Zeichen der Zeit erkannt und steigen auf die sichere Verbindung um – es steht zu erwarten, dass ein Großteil aller seriösen Seiten diesem Beispiel auf lange Sicht folgen wird.

11.06.2015: Alle Webseiten brauchen HTTPS, sagt Google

HTTPS wird immer wichtiger. Google ist sogar der Meinung, dass alle Seiten, egal ob sie persönliche Daten sammeln oder nicht, so sicher wie möglich aufgebaut werden sollten. Syed Mairaj hat entsprechend im letzten indischen Office Hour Hangout dafür plädiert, dass alle Webmaster ihre Seiten auf HTTPS umstellen sollten. Er argumentiert, dass HTTPS nicht nur für die Verschlüsselung von persönlichen Daten wichtig ist, sondern auch für die Sicherung von Traffic. Zur Untermauerung dieses Punktes erklärt Mairaj, wie einfach es für Hacker sein könnte, einen Router oder ein Netzwerk zu knacken und damit die gesamte http-Surf-Historie einer Person zu sehen. Da Google die Sicherheit seiner Benutzer am Herzen liegt, so sein Fazit, wird HTTPS also weiterhin als Rankingfaktor dienen. Da es also auch eine Frage des Traffic ist, empfiehlt er eindringlich, alle Seiten, also E-Commerce, Websites oder auch Blogs, auf HTTPS umzustellen. Seiten, denen die Sicherheit ihrer Nutzer am Herzen liegt, sollten also auf Sicht zu HTTPS wechseln, auch wenn es mit einiger Arbeit verbunden ist (wir sind für diese Seite auch dabei, die Umstellung vorzubereiten).

09.06.2015: HTTPS wird wichtiger

Nachdem John Mueller und Gary Illyes in den vergangenen Monaten bestätigt haben, dass HTTPS bislang nur ein vergleichsweise marginaler Rankingfaktor ist, haben viele Webmaster die Umstellung ihrer Seiten erst einmal auf Eis gelegt. Nach den neuesten Aussagen von Illyes auf der Search Marketing Expo Advanced sollten diese Arbeiten jedoch bald wieder aufgenommen werden! Illyes legt dar, dass HTTPS extrem wichtig ist, da Google großen Wert auf Sicherheit in der Suche legt. Aus diesem Grund werde es bald ein zentraler Rankingfaktor werden. Ein Grund dafür, dass dies noch nicht geschehen ist, sei sogar bei ihm selbst zu suchen. Er sei in letzter Zeit so viel gereist, dass er noch nicht dazu gekommen sei, dieses Thema – sein “Baby“, voranzutreiben. Es ist also davon auszugehen, dass die sichere Suche auf der Basis von HTTPS in (naher) Zukunft immer relevanter werden wird. Webmaster sollten daher die entsprechende Umstellung ihrer Seiten wieder auf die Agenda nehmen (wir werden hier mit gutem Beispiel vorangehen!).

07.08.2014: Offiziell: Google nutzt HTTPS als Kriterium für das Ranking

John Mueller vom Google Team in der Schweiz hat heute bekannt gegeben, dass die Nutzung des HTTPS-Protokolls Einfluss auf das Ranking von Websites hat.

Google setzt auf HTTPS

Um Nutzer der Google Suche zu schützen, werden eventuell unsichere Websites in den Google Suchergebnissen als vermutlich schädigend markiert: Screenshot: https in URL Google sei die Sicherheit sehr am Herzen gelegen, weswegen Google eigene Angebote wie die Google Suche, den E-Mail Dienst Gmail oder die Webanwendung Google Drive standardmäßig mit dem HTTPS-Protokoll versehen zur Verfügung stellt. Um Nutzer der Google Suche zu schützen, werden eventuell unsichere Websites in den Google Suchergebnissen als vermutlich schädigend markiert: Screenshot: Markierung - laut Google - unsicherer Websites Das Ziel von Google sei es, dass möglichst viele Webmaster auf das HTTPS-Protokoll setzen.

HTTPS hat Einfluss auf das Ranking

In diesem Zuge hat John Mueller bekannt gegeben, dass Google in den vergangenen Monaten Tests durchgeführt hat, bei welchen die Nutzung des HTTPS-Protokolls eine Rolle für die Bewertung von Websites dargestellt hat. Die Such Algorithmen wurden also angepasst, weniger als 1 % der globalen Suchanfragen sind bisher betroffen.

Gewichtung von HTTPS in Zukunft höher?

Die Nutzung von HTTPS hat weit weniger Gewicht auf die Bewertung durch Google als z. B. hochwertiger Content. Die Formulierung im Google Webmaster Blog lässt jedoch vermuten, dass sich dies in Zukunft ändern wird: „Für’s Erste ist es nur ein sehr leichtes Signal – während wir Webmastern Zeit geben auf HTTPS umzustellen.“ Weiter heißt es: „Aber im Laufe der Zeit könnten wir entscheiden es (Einfluss der Verwendung oder Nicht-Verwendung des HTTPS-Protokolls) zu stärken, weil wir alle Website Besitzer bestärken möchten von HTTP auf HTTPs umzustellen, damit jeder im Web sicher ist.“ Das deutet darauf hin, dass Google plant, die Verwendung des HTTPS-Protokolls zukünftig stärker zu gewichten. In den kommenden Wochen wird Google Tipps für die Einrichtung von TSL bereitstellen, damit Webmaster weit verbreitete Fehler bei der Umstellung auf HTTPS vermeiden können.