Kurz erklärt
HTTPS (HyperText Transfer Protocol Secure) verschlüsselt die Kommunikation zwischen Browser und Webserver mit TLS (Transport Layer Security). Ohne HTTPS können Angreifer in öffentlichen WLANs oder über kompromittierte Router alle übertragenen Daten mitlesen – Passwörter, Formulardaten, Session-Cookies.
Warum HTTPS Pflicht ist
Browser-Warnungen: Chrome, Firefox und Safari markieren HTTP-Seiten als „Nicht sicher” – das schreckt Besucher ab und senkt Conversion-Raten.
SEO-Ranking: Google bevorzugt HTTPS-Websites seit 2014 im Ranking. HTTP-Seiten haben einen Wettbewerbsnachteil.
Moderne Web-Features: Service Workers, Progressive Web Apps, Geolocation API, Payment API, HTTP/2 und HTTP/3 funktionieren nur über HTTPS.
DSGVO-Pflicht: Beim Übertragen personenbezogener Daten ist Verschlüsselung gemäß Art. 32 DSGVO verpflichtend.
TLS-Versionen
| Version | Status | Sicherheit |
|---|
| SSL 2.0/3.0 | Veraltet | Unsicher, deaktivieren |
| TLS 1.0/1.1 | Deprecated | Unsicher, deaktivieren |
| TLS 1.2 | Aktuell | Sicher, Mindeststandard |
| TLS 1.3 | Neueste | Empfohlen, schneller & sicherer |
Empfehlung: TLS 1.2 als Minimum, TLS 1.3 aktivieren. Alle älteren Versionen deaktivieren.
SSL-Zertifikate
Let’s Encrypt (kostenlos): Automatisierte Zertifikate mit 90-Tagen-Gültigkeit, Erneuerung via ACME-Protokoll. Von allen Browsern vertrauenswürdig. Perfekt für die meisten Websites.
Kommerzielle Zertifikate: Extended Validation (EV) Zertifikate zeigen Firmennamen in der Adressleiste – seit 2019 aber weniger prominent. Für Banking und E-Commerce teilweise noch relevant.
Wildcard-Zertifikate: Sichern *.example.com – praktisch für Subdomains. Let’s Encrypt bietet auch Wildcards.
Mixed Content vermeiden
Aktiver Mixed Content (JavaScript, CSS über HTTP) wird von Browsern blockiert – Seite funktioniert nicht.
Passiver Mixed Content (Bilder, Videos über HTTP) wird angezeigt, aber mit Warnung.
Lösung: Alle Ressourcen über HTTPS laden. CSP-Direktive upgrade-insecure-requests konvertiert automatisch HTTP zu HTTPS.
SSL-Konfiguration testen
SSL Labs Server Test: Bewertet TLS-Konfiguration von A+ bis F
- Cipher Suites prüfen
- Protokoll-Versionen prüfen
- Zertifikatskette validieren
Ziel: A+ Rating erreichen
Häufige Probleme:
- TLS 1.0/1.1 noch aktiv
- Schwache Cipher Suites
- Fehlende HSTS-Header
- Zertifikatsketten-Probleme
HTTP → HTTPS Migration
- SSL-Zertifikat installieren (Let’s Encrypt, Cloudflare, kommerziell)
- Alle internen Links auf
https:// ändern oder protokoll-relativ (//example.com)
- 301-Redirects von HTTP zu HTTPS einrichten
- Google Search Console über Migration informieren
- HSTS-Header aktivieren (zunächst mit kurzer max-age testen)
- Mixed Content bereinigen
Nächste Schritte
- Let’s Encrypt oder Cloudflare SSL aktivieren (kostenlos)
- HTTP → HTTPS 301-Redirects einrichten
- HSTS-Header mit
max-age=63072000 setzen
- SSL Labs Test durchführen, A+ Rating anstreben
- CSP
upgrade-insecure-requests Direktive hinzufügen