HTTP zu HTTPS: Die komplette Umstellung auf SSL

1. Warum du jetzt auf HTTPS umstellen solltest

HTTP (HyperText Transfer Protocol) uebertraegt Daten im Klartext – jeder, der den Netzwerkverkehr mitliest, kann Formulardaten, Cookies und sogar Passwoerter abfangen. HTTPS verschluesselt die gesamte Kommunikation mit TLS (Transport Layer Security) – Abhoeren ist damit nicht mehr einfach moeglich.

Google hat HTTPS seit 2014 als leichten Ranking-Faktor bestaetigt. Wichtiger noch: Chrome markiert HTTP-Seiten als "Nicht sicher" in der Adressleiste. Das schadet der Conversion erheblich – Nutzer vertrauen nicht-gesicherten Seiten weniger.

2. SSL-Zertifikat erhalten und installieren

Drei Wege zum SSL-Zertifikat:

SSL ueber Hosting-Panel aktivieren (empfohlen)

Die einfachste Methode: In Plesk, cPanel oder dem jeweiligen Hosting-Control-Panel einfach "SSL/TLS" oder "Let's Encrypt" auwaehlen und die Domain hinzufuegen. Der Anbieter erledigt alles automatisch – Zertifikat ausstellen, Webserver konfigurieren, automatische Verlaengerung alle 90 Tage.

Certbot auf VPS (Ubuntu/Debian)

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d meinedomain.de -d www.meinedomain.de

Certbot konfiguriert nginx automatisch und richtet einen Cronjob fuer die automatische Verlaengerung ein. Verlaengerung manuell testen:

sudo certbot renew --dry-run

3. HTTP auf HTTPS weiterleiten (301-Redirect)

Das SSL-Zertifikat allein reicht nicht – du musst sicherstellen, dass alle HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden. Dies geschieht ueber einen 301-Redirect (permanente Weiterleitung), der Google und Browsern signalisiert, dass die URL dauerhaft gewechselt hat.

Apache (.htaccess)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Nginx (server block)

server {
    listen 80;
    server_name meinedomain.de www.meinedomain.de;
    return 301 https://$host$request_uri;
}

WordPress (wp-config.php + .htaccess)

# In wp-config.php vor den WordPress-Defines:
define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
    $_SERVER['HTTPS'] = 'on';

Ausserdem in den WordPress-Einstellungen unter "Allgemein" beide URLs auf HTTPS aendern: https://meinedomain.de

4. Mixed Content beheben

Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen (Bilder, Scripts, Stylesheets) ueber HTTP laedt. Browser blockieren aktive Mixed-Content-Ressourcen (JavaScript, CSS) vollstaendig und warnen bei passivem Mixed Content (Bilder). Das Schlosssymbol erscheint dann nicht mehr vollstaendig.

Mixed Content finden

• Browser-Entwicklertools – Konsole (F12) zeigt Mixed-Content-Warnungen
• Why No Padlock (whynopadlock.com) – Kostenloser Online-Checker
• SSL Labs (ssllabs.com) – Umfassender SSL-Test
• Screaming Frog – Crawlt alle Seiten und findet HTTP-Ressourcen

Mixed Content in WordPress beheben

In WordPress sind oft noch alte HTTP-URLs in der Datenbank gespeichert. Das Plugin Better Search Replace ersetzt alle http://meinedomain.de durch https://meinedomain.de in der gesamten Datenbank. Oder per SQL:

UPDATE wp_options SET option_value = replace(option_value, 'http://meinedomain.de', 'https://meinedomain.de') WHERE option_name = 'home' OR option_name = 'siteurl';
UPDATE wp_posts SET post_content = replace(post_content, 'http://meinedomain.de', 'https://meinedomain.de');
UPDATE wp_postmeta SET meta_value = replace(meta_value, 'http://meinedomain.de', 'https://meinedomain.de');

Content Security Policy als Sicherheitsnetz

# In Apache .htaccess oder nginx config:
Content-Security-Policy: upgrade-insecure-requests

Dieser Header veranlasst Browser, HTTP-Unteranfragen automatisch auf HTTPS upzugraden – als Sicherheitsnetz, kein Ersatz fuer die eigentliche Bereinigung.

5. SEO nach der HTTPS-Umstellung

Eine HTTPS-Umstellung kann kurzfristig zu Rankings-Schwankungen fuehren – muss aber nicht, wenn sie korrekt durchgefuehrt wird. So minimierst du das Risiko:

1. 1
   301-Redirects korrekt setzen Alle HTTP-URLs muessen mit 301 (nicht 302!) auf HTTPS weiterleiten. 301 signalisiert Google, dass Link-Juice uebertragen werden soll.
2. 2
   Sitemap aktualisieren Alle URLs in der sitemap.xml auf HTTPS aendern und die neue Sitemap in der Google Search Console einreichen.
3. 3
   Google Search Console: HTTPS-Property hinzufuegen https://meinedomain.de als neue Property in der GSC anlegen. Google behandelt HTTP und HTTPS als separate Seiten.
4. 4
   Canonicals pruefen Alle rel=canonical-Tags und intern verlinkten URLs muessen auf HTTPS zeigen, sonst signalisierst du Google, dass HTTP die bevorzugte URL ist.
5. 5
   Externe Backlinks und Social Media aktualisieren Eigene Profile (Facebook, Twitter, Verzeichnisse) auf HTTPS-URLs umstellen. Externe Links werden ueber den 301-Redirect weitergeleitet, aber direkte HTTPS-Referenzen sind besser.

6. HSTS: Browser zwingen, immer HTTPS zu nutzen

HTTP Strict Transport Security (HSTS) ist ein HTTP-Sicherheitsheader, der Browser anweist, eine Domain fuer eine bestimmte Dauer ausschliesslich ueber HTTPS aufzurufen – auch wenn der Nutzer "http://" tippt. Nach dem ersten HTTPS-Aufruf merkt sich der Browser die Policy und schickt keine HTTP-Anfragen mehr.

HSTS-Header setzen

# Apache .htaccess
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

7. HTTPS-Implementierung testen und pruefen

Nach der Umstellung: Pruefe, ob alles korrekt funktioniert.

8. Fazit: HTTPS ist kein Aufwand mehr

Die groesste Huerde bei der HTTPS-Umstellung war fruher der Preis fuer SSL-Zertifikate. Das ist Geschichte: Let's Encrypt macht HTTPS fuer jeden kostenlos. Moderne Hosting-Anbieter aktivieren SSL per Knopfdruck. Die Umstellung auf HTTPS dauert heute bei einem sorgfaeltigen Vorgehen wenige Stunden – und der Aufwand lohnt sich durch besseres Nutzervertrauen, SEO-Vorteile und regelkonformes Datenschutz-Niveau.