t3n News Marketing

HTTPS als Ranking-Faktor: Google wertet sichere Verbindung als Qualitätsmerkmal

HTTPS als Ranking-Faktor: Google wertet sichere Verbindung als Qualitätsmerkmal

Ihr habt schon häufiger überlegt, ob ihr eure Website nicht auf die sichere HTTPS-Verbindung umstellen solltet, es aber immer wieder aus den Augen verloren? Dann solltet ihr jetzt noch mal darüber nachdenken, denn will in Zukunft verstärkt HTTPS als Ranking-Faktor werten.

HTTPS als Ranking-Faktor: Google wertet sichere Verbindung als Qualitätsmerkmal

Google belohnt HTTPS-Verbindungen im Ranking. (Bild: © tiero - Fotolia.com)

HTTPS als Ranking-Faktor: Google will das Web sicherer machen

Google will das Web sicherer machen und greift dafür zu einem großen Hebel: HTTPS soll als Ranking-Faktor in die Suchergebnisse einfließen – und tut das schon zu einem kleinen Teil. Aktuell beeinflusst dieser wohl weniger als ein Prozent der weltweiten Suchanfragen und wird noch nicht so stark gewertet, wie es im Webmaster Central Blog von Google heißt. Google will den Seitenbetreibern Zeit geben, auf HTTPS umzustellen. Weiter ist zu lesen:

„Aber im Laufe der Zeit könnten wir entscheiden, diesen Faktor stärker zu bewerten, da wir alle Website-Betreiber ermutigen wollen, von HTTP zu HTTPS zu wechseln, um jeden im Web zu schützen.“

In den nächsten Wochen wird Google dann Best-Practices veröffentlichen, damit beim Hinzufügen der Transport-Layer-Security (TLS) Fehler vermieden werden. Ein paar Tipps gibt Google in dem Blog-Post schon und auf der Google I/O wurde in der Session „HTTPS Everywhere“ erklärt, wie ihr eure Website sicherer machen könnt.

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
14 Antworten
  1. von defaultuser am 07.08.2014 (10:23 Uhr)

    Ich bin dafür, dass https als Standard eingeführt werden soll!

    Antworten Teilen
  2. von Yves am 07.08.2014 (10:26 Uhr)

    Gut, dass wir bei unserem neuen Projekt gleich auf HTTPS gesetzt haben. :-)
    Die SSL Zertifikate von GeoTrust kann ich jedem empfehlen.

    Antworten Teilen
    • von kahner am 07.08.2014 (11:06 Uhr)

      Was soll gerade an Geotrust-Zertifikaten besser sein?

      Ein SSL-Zertifikat ist ein SSL-Zertifikat. Sie können mit jedem Linux-Rechner mal eben eines erstellen. Jede Fritz!Box produziert eines, wenn Sie einen externen NAS-Zugang via https einstellen.
      Und die sind genauso sicher, wie eines von Geotrust. Die Sicherheit der Kommunikation ist bei keinem besser oder schlechter, sondern folgt diversen RFCs.

      Selbst ein EV-Zertifikat ist nicht besser als ein einfaches, kostenfreies.
      Letztlich soll es dem Besucher Ihrer Seite nur ein gutes Gefühl geben. Der Rest ist besseres Blendwerk und Geschäftsmodell der CA-Anbieter.

      Wenn Sie anderer Ansicht sind, dann fragen Sie doch einmal eine Sparkasse Ihrer Wahl, warum diese beim Online-Banking nicht ein EV-Zertifikat des eigenen Sparkassen-Verbands (S-TRUST) verwendet, sondern eines des US-Anbieter VeriSign - ein Umstand, der übrigens US-Finanzinstituten verboten ist.
      Und die Antwort (wörtlich): Ist doch egal!
      Und Recht hat er, der Admin!

      Auch das Argument der Überprüfung erübrig sich, da alle OS-Anbieter nach ihrem eigenen Gutdünken (und nicht etwa SIE) bestimmen, welcher Root-CA hier eigentlich entscheidet, wann ein Zertifikat gültig ist. Werfen Sie doch mal einen Blick in die Liste der vertrauenswürdigen CAs.
      Bei 90% von denen haben Sie noch nicht einmal was gehört!

      Antworten Teilen
      • von Vomitorium am 07.08.2014 (11:19 Uhr)

        Tja, nur dass die meisten kostenlosen Zertifikate nicht sauber funktionieren und von vielen Browsern als unsicher eingestuft werden, ein Umstand den der Ottonormal-User als ziemlich verwirrend einstuft und die Seite verlässt. (also in etwa so verwirrend wie dein Gelaber da)


        Von "gratis" Multidomain-Zertifikaten wollen wir erstmal gar nicht sprechen, denn die gibt es nicht - also wieder: Für den professionellen Gebrauch nicht einzusetzen, sicherlich aber für trashige Projekte wie deine Online-Kaninchenzüchter-Vereinsverwaltungs-Software.

        Ein EV Zertifikat hat sehr wohl einen Sinn - jemandem aus der Bastler Ecke wie dir mag das nicht bewusst sein, verstehe ich; aber jedes seriöse Online-Unternehmen wird zusehen, ein EV Zertifikat zu bekommen - aus einem einfachen Grund: So sieht auch der letzte DAU, dass die besuchte Website zu der Firma gehört, zu der er hinwollte, weil es nämlich schon oben in der Browser-Leiste steht - aber ich verstehe schon, dass man das aus dem Kellergeschoss nicht erkennen kann.
        (Dein Kommentar bezgl. VeriSign und Sparkasse und dem Verbot von VeriSign für Finanzinstitute in USofA tut absolut nichts zur Sache und kann einfach mal in Ablage "ahnungslos" einsortiert werden, denn dein Versuch ist gescheitert, daraus ein vermeintliches Gegenargument zu konstruieren)

        Teilen
      • von kahner am 08.08.2014 (01:55 Uhr)

        Liebes Vomitorium!

        Da haben wir uns aber mal reichlich ausgekotzt, oder?! Das muss Dir ja ein echtes Bedürfnis gewesen sein.

        Aber mal ernsthaft… was hast Du Dir denn bei diesem Pseudonym gedacht – Brechmittel??! Soll das Dein Versuch sein, dem Begriff Kotzbrocken einen intellektuellen Touch zu verpassen. Das ist zwar nicht schön, aber wenn das Deiner Selbsteinschätzung entspricht, dann wirst Du Dich da sicherlich gut beurteilen können.
        Jeder wie er es halt eben am besten kann!

        Nun zu Deinem sicherlich gut gemeinten Beitrag
        Ein bisschen mehr Bastler hätte Dir auch ganz gut getan. Dann hättest Du ein mehr Sachlichkeit und etwas weniger Kernkompetenz einbringen können, aber man muss mit dem auskommen, was man halt so zur Verfügung hat.

        Natürlich versteht der normale Anwender die Besonderheiten einer SSL-gesicherten Kommunikation nicht, aber ein Shop-Besitzer sollte das schon tun. Leider ist Dir entgangen, dass der Bastler zwingende Voraussetzung bei der korrekten Umsetzung eines sicheren Web-Auftritts ist. Mit einem Zertifikat alleine ist es nicht getan. Der Shop muss auch anderen Kriterien Genüge tun. Sonst komme ich auch mit SSL-Zertifikat in Deinen Shop und an die Kundendaten. Es ist auch richtig, dass Zertifikate nur grün sind, wenn sie von einem Root-CA anerkannt werden. Aber das ist ein anderes Thema.
        Trust-Center tun gerne so, als wären teure Zertifikate besser als kostenlose. Schließlich müssen sie ja ihr Geschäftsmodell schützen. Aber es gibt auch anerkannte kostenfreie SSL-Zertifikate. Und funktionieren tun sie alle gleich.
        Google doch mal, was ein RFC ist.

        Jetzt Obacht!
        Ein EV-Zertifikat per se ist KEIN Beweis für die Echtheit des Shops. Auch ein EV-Zertifikat steht nur, wie jedes andere auch, für ein korrektes Zertifikat und dass der CA vorgibt, dies persönlich überprüft zu haben - wie auch immer!
        Der Unterschied ist subtil, aber wichtig. Jetzt werden Dir Namen wie DigiNotar oder India CCA, respektive deren Sub-CAs nichts sagen, aber der informierte Bastler kennt diese als Root-CAs, die gehackt und unter deren Namen falsche Zertifikate ausgestellt wurden. Das Problem ist, dass praktisch jeder der weltweit viele hunderte CAs inkl. deren Subs Dein Online-Banking und -Shopping zertifizieren kann.
        Es gibt keine zentrale Kontrolle. Jedes Land kocht da sein eigenes Süppchen und setzt seine eigenen Interessen um – oder hast Du die letzten Monate im Tiefschlaf verbracht.

        Aber was sind schon Fakten (u.a. Microsoft Security Advisory 2982792) wenn man einen Namen hat, der Programm sein soll.

        Und nochmal (Lernen durch Wiederholung): Aus diesem Grund ist es u.a. US-Finanzinstituten untersagt, sich durch fremdländische CAs zertifizieren zu lassen.

        Das hierarchische CA-System gilt aus genannten Gründen als anerkanntermaßen unsicher, wenn auch derzeit alternativlos.

        Kotzilein (wo wir uns jetzt so gut kennen, ist eine gewisse Vertraulichkeit sicher erlaubt, und Vomitorium ist so schrecklich förmlich) - wer hier auf t3n, einem Forum, das sich vorrangig mit eCommerce beschäftigt, zwingendes Verständnis um die SSL-Zertifikate als Bastelei bezeichnet, grundlegende Zusammenhänge nicht versteht, versucht dies mit Arroganz zu kompensieren und auch noch darauf stolz ist, der sollte sich vielleicht mal fragen, ob er nicht anderswo besser aufgehoben wäre.

        Aber wer weiß - vielleicht brauchst Du das ja einfach!
        Also morgen wieder - same place, same time?
        Und bitte: Streng Dich diesmal ein wenig an - OK?

        Teilen
      • von coca-cola am 08.08.2014 (09:07 Uhr)

        Wer sich auf T3N ernsthaft über Technik unterhält, hat ein ganz anderes Problem. Die meisten können gerademal Wordpress installieren.

        Teilen
      • von irgendeinem Spinner am 08.08.2014 (22:41 Uhr)

        Genau genommen sind selbst erstellte Zertifikate sogar sicherer als ein von einer CA ausgestelltes. Wie immer muss man dem Ersteller vertrauen, aber immerhin kann mir bei meinem eigenen Zertifikaten niemand ein Duplikat erzeugen und sich für mich ausgeben. Dafür warnen die Browser halt, dass sie dem Rootzertifikat nicht vertrauen, aber ihr könnt euch ja gerne mal ansehen welchen dubiosen CAs die da so vertrauen.

        Das ganze System ist schlicht und ergreifend kaputt, es funktioniert nur zum Schein.

        Teilen
      • von irgendeinem Spinner am 08.08.2014 (22:45 Uhr)

        Nachtrag:
        Falls jetzt jemand mit Überprüfung und so ankommt: Habt ihr schon mal ein Zertifikat beantragt? In der Regel gibst du deine Daten in ein Formular ein, bekommst dann eine E-Mail an die postmaster, webmaster oder ähnlich E-Mail-Adresse der Domain und das wars dann mit der Überprüfung.

        Teilen
  3. von MK am 07.08.2014 (11:19 Uhr)

    Ich hoffe, dass nicht nur HTTPS bewertet wird sondern auch welche Layer etc. unterstützt werden, da es immer noch einige HTTPS Seiten gibt, die kein PFS etc. nutzen. (SPDY ist ein anderes Thema). kenne noch genügend Provider die "alte Mechanismen" verwenden, bei denen aber super easy eine Man-In-The-Middle Attack durch zuführen ist, neulich noch ein System gesehen welches BEAST und CRIME Attacken zulässt.
    Wir liefern generell immer alle Seiten mit PFS und SPDY aus.
    Wenn man SPDY einsetzt brauch man in den meisten fällen auch kein CDN mehr.

    Antworten Teilen
  4. von Sven Dörr am 07.08.2014 (11:49 Uhr)

    Dieser Kommentar wurde aufgrund von Werbung gelöscht.

    Antworten Teilen
  5. von typo3.entwickler am 19.08.2014 (18:26 Uhr)

    Das ist ja eine heiße Diskussion hier. Wir sind hier eher pragmatisch und besorgen uns das Zertifikat über unseren Hoster. Der installiert das ganze.. Kunde und Wir sind zufrieden. Alles gut, schönen Abend

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Google
HTTPS: Google markiert bald alle Websites ohne SSL-Verschlüsselung
HTTPS: Google markiert bald alle Websites ohne SSL-Verschlüsselung

Google will das Internet sicherer machen und HTTPS standardisieren – kein leichtes Unterfangen. Um Website-Betreiber in diese Richtung zu lotsen, will Google Seiten ohne Verschlüsselung bald … » weiterlesen

Internet-Verschlüsselung: HTTPS-Anteil 2015 mehr als verdoppelt
Internet-Verschlüsselung: HTTPS-Anteil 2015 mehr als verdoppelt

Der verschlüsselte Datenverkehr im Internet ist auf dem Vormarsch. Im vergangenen Jahr hat sich der Anteil von HTTPS-Aufrufen im Netz mehr als verdoppelt. » weiterlesen

WordPress auf HTTPS: So stellst du deine Seite komplett um
WordPress auf HTTPS: So stellst du deine Seite komplett um

Eigentlich sollte es nicht schwer sein, eine CMS-Website von http auf HTTPS umzustellen – bei WordPress ist das aktuell aber noch mit ein bisschen Aufwand verbunden. Wie ihr eure WordPress-Website … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?