Die 3 wichtigsten Schritte bei einer Website-HTTPS-Migration

Wenn Sie in den letzten 5 Jahren an Websites gearbeitet haben, ist es fast garantiert, dass Sie von HTTPS gehört haben. HTTPS ist das neue vielversprechende Internetprotokoll, das das Web für alle Benutzer sicherer macht. Es ist auch einer der am schnellsten wachsenden Internettrends, da sich die Anzahl der HTTPS-Sites im Jahr 2016 verdoppelt hat .

Wir haben mit mehreren Kunden zusammengearbeitet, um HTTPS auf ihren Websites zu implementieren, und dabei gelernt, viele der Probleme zu lösen, die eine HTTPS-Migration verursachen kann. Nachfolgend finden Sie unseren Leitfaden für eine nahtlose HTTPS-Migration, aber zunächst eine Übersicht:

Was ist HTTPS?

Für alle, die mit HTTPS nicht vertraut sind, hier ein grundlegender Überblick über den Vorgang: Beim Surfen im Web werden Inhalte über ein „Hypertext Transfer Protocol“ kommuniziert. Dies ist das „HTTP“-Präfix, das Sie am Anfang einer URL sehen ( http://www.example.com ), und es ermöglicht Servern und Clients, mit Ihnen zu kommunizieren und Internetinhalte anzuzeigen.

HTTPS ist eine sicherere Version des HTTP-Protokolls. Es fügt der Server-/Client-Kommunikation ein SSL-Sicherheitszertifikat hinzu, das sicherstellt, dass sensible Informationen wie Passwörter und Kreditkarteninformationen nicht von böswilligen Lauschern gestohlen werden können, während sie zwischen dem Server und dem Computer eines Benutzers reisen. Am wichtigsten ist, dass es den Benutzern einen klaren Indikator dafür gibt, dass Ihre Site sicher und sicher ist:

Im Prinzip ist die Migration zu HTTPS so einfach wie das Hinzufügen eines SSL-Zertifikats zu Ihrer Website. In der Praxis kann das ein mühsamer und anstrengender Prozess sein. Die Washington Post beschrieb ihre 10-monatige Migration im Jahr 2015 und erläuterte die verschiedenen Probleme und Hindernisse, auf die sie stießen.

Um einer Site ein SSL-Zertifikat hinzuzufügen, müssen Sie zuerst ein Zertifikat anfordern, es dann auf die gesamte Site anwenden und es dann pflegen, um sicherzustellen, dass es nicht abläuft oder in Zukunft verfällt. Für größere Websites, insbesondere solche mit einer E-Commerce-Plattform oder einem Login-Portal, kann dies ein sehr anstrengender Prozess sein. Darüber hinaus riskieren Sie einen vorübergehenden bis dauerhaften Rückgang des Traffics und des Keyword-Rankings, wie der organische Rückgang von Moz um 11% über 3+ Monate.

Warum ist mir HTTPS wichtig?

Google hat eine der stärksten Befürworter gewesen für Websites HTTPS zu übernehmen bereits seit 2014 und das aus gutem Grund. Ein sichereres Web macht den Alltag für die allermeisten Internetnutzer unendlich einfacher. Wie viele von Ihnen würden zögern, bei Amazon einzukaufen, wenn Sie wüssten, dass jemand Ihre Kreditkarteninformationen stehlen könnte? Wie viele von Ihnen würden E-Mails verwenden, wenn Sie wüssten, dass jemand ausspionieren könnte, was Sie senden? Web-Sicherheit ist heutzutage von entscheidender Bedeutung, aber lassen Sie sich nicht in die Irre führen, dass sie einfach zu implementieren ist.

Zum Glück für Internetnutzer (wenn auch vielleicht leider für Webmaster und SEOs) ist HTTPS hier, um zu bleiben. John Mueller von Google besteht darauf, dass Webmaster Folgendes tun müssen:

Vor kurzem kündigte Gary Ilyes, Webmaster Trends Analyst bei Google, eine grundlegende Änderung der Art und Weise an, wie Google den PageRank für 301-Weiterleitungen misst, um diesen Übergang zu erleichtern:

30x-Weiterleitungen verlieren keinen PageRank mehr.

— Gary Illyes ᕕ( ᐛ )ᕗ (@methode) 26. Juli 2016

Dadurch, dass Weiterleitungen 100 % des PageRanks passieren können, anstatt wie bisher 80-90 %, hofft Google, immer mehr Websites dazu zu bringen, HTTPS zu übernehmen, ohne sich über den organischen Verlust, der daraus resultieren könnte, Sorgen machen zu müssen.
Schließlich gab Google bekannt, dass ab Januar 2017 alle Websites, die Kreditkarteninformationen oder Passwörter sammeln, die NICHT HTTPS verwenden, in Google Chrome als "Nicht sicher" gekennzeichnet werden:

Nachdem wir mit mehreren Clients an der Implementierung von HTTPS gearbeitet haben, haben wir eine Liste mit den drei Hauptschritten einer HTTPS-Migration zusammengestellt:

1. Vormigration
2. Migration
3. Nach der Migration

Vor der Migration

Backup, Backup, Backup. Ich kann das nicht oft genug wiederholen. Sichern Sie Ihre Site, bevor Sie Ihre HTTPS-Migration starten.

Es gibt Tausende von Dingen, die während einer HTTPS-Migration schief gehen können, einschließlich Dinge, von denen Sie nicht einmal dachten, dass sie schief gehen können. Laden Sie ein Backup Ihrer Medienbibliothek herunter. Speichern Sie Backups Ihrer CSS- und JS-Dateien. Wenn Sie Ihre gesamte Site-Konfiguration sichern, können Sie Ihr SSL-Zertifikat ganz einfach deaktivieren, wenn nach der Aktivierung von SSL etwas schief geht.

Auch hier kann ich nicht wiederholen, wie viele Dinge schief gehen können, die Sie in einer Million Jahren nicht erwarten werden. Sichern Sie Ihre Website.

Migration

Der Heilige Gral, die eigentliche Migration. Hier zahlt sich die ganze Schmerz- und Leidensvorbereitung aus.

Zum Glück für Webmaster gibt es mehrere einfachere Möglichkeiten, zu HTTPS zu migrieren als eine herkömmliche SSL-Implementierung. ClouldFlare und Let's Encrypt sind zwei Dienste, die wir bei kleineren Websites verwendet haben und die ich für eine HTTPS-Migration dringend empfehle.
**HINWEIS: Bei Cloudflare wurde vor kurzem eine große Sicherheitslücke aufgedeckt , seien Sie also vorsichtig, Cloudflare SSL sofort einzuführen. Sobald das Problem jedoch vollständig behoben ist, sollte dies wieder ein praktikabler Dienst sein.

Alle diese Dienste sind völlig kostenlos. Sie bieten das gleiche Maß an SSL-Verschlüsselung und -Sicherheit ohne viel Aufwand mit einer vollständigen SSL-Implementierung. Sie können unter den obigen Links mehr über jeden Dienst erfahren, aber das Grundprinzip von Cloudflare besteht darin, dass sie kostenlos ein SSL-Zertifikat bereitstellen und dann den Suchenden eine zwischengespeicherte Version Ihrer Website bereitstellen, die absolut sicher ist. Die Kommunikation zwischen Ihrem Server und dem Client ist nicht sicher, aber Site-Besucher gelangen trotzdem auf eine sichere Site.

Let's Encrypt hingegen bietet ein kostenloses SSL-Zertifikat, das automatisch über einen Webserver wie WPEngine konfiguriert werden kann. Sobald die Zertifizierungsstelle die Domäne validiert hat, stellt Let's Encrypt das SSL-Zertifikat für die gesamte Site bereit.

Wenn Sie sich gegen diese Option entscheiden, ist die beste Empfehlung, alles zu testen, bevor Sie es live auf Ihrer Website veröffentlichen. Wenn Sie eine Staging-Site haben, testen Sie die SSL-Implementierung auf jeder Seite dort, bevor Sie Ihre Live-Site migrieren. Überprüfen Sie alles, einschließlich der Links in Ihren Sitemaps und robots.txt-Dateien, Links auf Ihrer Website, Bilder, Einreichungsformulare und alles.

Stellen Sie schließlich sicher, dass Sie über eine globale Weiterleitung verfügen, um alle Links zu erfassen, die auf die HTTP-Version Ihrer Website verweisen. CloudFlare und Let's Encrypt (und die meisten anderen Umgebungen) richten diese Weiterleitung automatisch ein, stellen Sie jedoch sicher, dass dies in Ihrem Übergang enthalten ist. Das Letzte, was Sie wollen, ist, das Eigenkapital Ihrer Backlinks zu verlieren.

Überprüfen Sie gleichzeitig die URL-Struktur, die Sie für Links auf der Website verwenden. Wenn Ihre Links einen vollständigen URL-Pfad ( http://www.example.com/stuff/ ) anstelle relativer URL-Pfade (/stuff/) verwenden, werden diese Links nach der Migration möglicherweise nicht aktualisiert. Geben Sie Google keine weiteren Ausreden als nötig, um Ihr Linkprofil abzulehnen: Überprüfen Sie diese beiden Funktionen noch einmal.

Nach der Migration

Nur weil Ihre Migration abgeschlossen ist, bedeutet dies nicht, dass Ihre Arbeit noch beendet ist. Manchmal können die Folgen genauso schwierig sein wie die eigentliche Migration.

Als erstes sollten Sie die Skripte von Drittanbietern auf Ihrer Site überprüfen. Wir hatten einen Kunden, der eine HTTPS-Migration durchführte, nur um festzustellen, dass seine gesamte Schriftart auf der Website verschwunden war. Ihre benutzerdefinierten Schriftarten wurden in WordPress durch die standardmäßigen Blockbuchstaben ersetzt, wodurch die Site klobig und unhandlich aussieht. Das Problem, das wir entdeckten, war, dass ihre Schriftart von einem Drittanbieterdienst importiert wurde, der die Schriftartenbibliothek nicht als HTTPS-Datei bereitstellte. Sobald wir die Datei auf ein HTTPS-Protokoll aktualisieren konnten, wurden die Schriftarten wieder normal.

Ein anderer Kunde, der an einer Migration arbeitete, hatte eine Reihe von Übermittlungsformularen auf der gesamten Site von Pardot.com importiert. Trotz der Tatsache, dass die meisten anderen Ressourcen auf der Site korrekt migriert wurden, war dies bei diesen Einreichungsformularen nicht der Fall, sodass eine Reihe von leeren Eingabefeldern übrig blieben, wo zuvor vollständige Abonnementformulare vorhanden waren. Wie zuvor stellte sich heraus, dass die Abonnementformulare nicht standardmäßig auf HTTPS migriert wurden. Nachdem wir die Links aktualisiert hatten, waren die Formulare startklar.

Die häufigsten Probleme, auf die wir gestoßen sind, sind unsichere Bilder. Eine der ersten Warnungen, die Sie wahrscheinlich bemerken werden, ist eine Fehlermeldung wie die folgende:

Während einer Site-Migration haben Bilder, die auf der Site enthalten sind, häufig unsichere URL-Adressen. Auch nach der Migration Ihrer Website haben Bilder, die von externen Websites importiert wurden, häufig noch eine unsichere URL, die Google Chrome dazu veranlasst, Benutzer zu warnen, dass der Inhalt der Website möglicherweise kompromittiert wurde.

Einige von Ihnen sagen gerade: "Aber wie soll ich jedes Bild auf meiner Site überprüfen, um zu wissen, welches sicher ist und welches nicht?" Zum Glück haben wir eine Lösung. In Screaming Frog können Sie beim Crawlen einer Site eine benutzerdefinierte Extraktion festlegen, um nach Bildern mit einer HTTP-Adresse zu suchen.

Die benutzerdefinierte Extraktion muss auf einen XPath-Typ und zum Extrahieren eines HTML-Elements eingestellt werden. Verwenden Sie dann das folgende Snippet als Extraktionscode:

 //img[enthält(@src,'http://')] 

Nachdem Ihr Crawling abgeschlossen ist, enthält der Tab "Extraktion" eine vollständige Liste der Seiten mit unsicheren Bildern und den Quellcode für diese Bilder. Von dort aus können Sie die URLs in HTTPS-Adressen aktualisieren.

Als Zweites sollten Sie die HTTPS-Version Ihrer Website zur Google Search Console hinzufügen. Es wird einige Zeit dauern, bis Google erkennt, dass Ihre Website jetzt sicher ist, und die Ranking-Ergebnisse, die es den Nutzern anzeigt, umstellt. Je früher Sie die HTTPS-Version Ihrer Site in der Search Console überprüfen, desto schneller kann Google mit der Indexierung der sicheren Site beginnen und diese den Nutzern in den Suchergebnissen bereitstellen.

Drittens möchten Sie zusätzlich zu HTTPS sicherstellen, dass Ihr Server HTTP/2.0 verwendet, die neueste Version des allgemeinen Internetprotokolls. Wenn Sie CloudFlare oder Let's Encrypt von oben verwenden, sollte Ihr Server standardmäßig HTTP/2.0-kompatibel sein. Für alle Fälle kann es jedoch nie schaden, eine kurze Überprüfung auf https://tools.keycdn.com/http2-test durchzuführen .

Der letzte Schritt, den Sie nach der Migration unternehmen sollten, besteht darin, Ihren organischen Traffic in den folgenden Wochen und Monaten ständig zu überwachen. Wie Rand Fishkin im obigen Link feststellte, hat Moz in den 3 Monaten nach der Migration 11% seines Suchverkehrs verloren, und viele andere Websites haben ähnliche Verluste gemeldet.

Obwohl Sie möglicherweise nur wenige Möglichkeiten haben, diesen Traffic sofort wiederherzustellen, sollten Sie darauf achten, bei welchen Suchanfragen Sie im Ranking zurückgefallen sind oder auf welchen Seiten ein Rückgang des organischen Traffics verzeichnet wird. Vorausgesetzt, dass sich diese Seiten nicht schnell erholen, kann dies ein Zeichen dafür sein, dass Sie ein tieferes Problem mit der Site haben. Wenn es sich um ein schwerwiegenderes Problem handelt, befolgen Sie die Schritte zur Vorgehensweise, wenn Ihr organischer Traffic sinkt .

Auch hier ist die Migration zu HTTPS ein Schritt, den Sie unternehmen müssen. Google beharrt immer mehr darauf, und es ist auch ein wesentlicher Bestandteil, um Ihren Website-Besuchern eine positive Benutzererfahrung zu bieten. Nur weil dies wichtig ist, heißt das leider nicht, dass es schnell oder einfach ist. Befolgen Sie unsere Anleitung oben, und Sie können die häufigsten Fallen und Fallstricke einer HTTPS-Migration vermeiden. Die Vorteile sind es wert.