SSL/HTTPS
Auch bekannt als: HTTPS, SSL/TLS, Transport Layer Security, Verschlüsselte Verbindung
1. Kurzdefinition
SSL/HTTPS bezeichnet die verschlüsselte HTTP-Verbindung zwischen Browser und Server, basierend auf dem TLS-Protokoll (Transport Layer Security). Seit 2018 von Google als Ranking-Faktor offiziell bestätigt; 2026 absolute Hygiene-Anforderung — Sites ohne HTTPS verlieren systematisch Sichtbarkeit und User-Trust.
2. Ausführliche Erklärung
SSL/HTTPS ist die verschlüsselte Variante des HTTP-Protokolls. SSL (Secure Sockets Layer) war der ursprüngliche Standard aus den 1990er-Jahren; heute wird das modernere TLS (Transport Layer Security) verwendet, der Begriff 'SSL' bleibt umgangssprachlich. HTTPS bedeutet HTTP über TLS — alle Daten zwischen Browser und Server werden verschlüsselt übertragen, nicht im Klartext. Drei Funktionen: Erstens Vertraulichkeit (Daten können nicht von Dritten mitgelesen werden). Zweitens Integrität (Daten können nicht manipuliert werden während der Übertragung). Drittens Authentizität (der Server-Identität wird via Zertifikat verifiziert).
Für GEO ist HTTPS 2026 absolute Hygiene-Anforderung. Google bestätigte HTTPS 2014 als Ranking-Signal; 2018 begann Chrome, HTTP-Sites als 'Not Secure' zu markieren. GPTBot, ClaudeBot und andere KI-Crawler erwarten 2026 Standard-mässig HTTPS — Sites ohne HTTPS werden teilweise nicht mehr gecrawlt. Browser-Warnungen vor HTTP-Sites schrecken User ab und reduzieren Click-Through-Rate drastisch. Konsequenz: HTTPS-Migration ist 2026 nicht-verhandelbare Foundation jeder Site.
Drei Setup-Optionen dominieren 2026. Erstens Let's Encrypt: gratis, automatisiert, weit verbreitet. Standard für die meisten KMU-Sites. Auto-Renewal alle 90 Tage über Tools wie Certbot. Zweitens Cloudflare: kombiniert HTTPS-Setup mit CDN-Performance — gratis Basis-Tier verfügbar. Beliebte Kombination für moderne Web-Setups. Drittens kommerzielle Zertifikate (DigiCert, Sectigo, GlobalSign): typisch 50-300 CHF pro Jahr, mit Extended-Validation-Optionen. Sinnvoll für Enterprise-Sites mit spezifischen Compliance-Anforderungen oder Banking/E-Commerce-Branchen, die EV-Trust-Signale benötigen.
Strategisch sollten Sites zusätzlich zur HTTPS-Aktivierung drei Hardening-Massnahmen umsetzen. Erstens HSTS (HTTP Strict Transport Security): HTTP-Header, der Browser anweist, immer HTTPS zu nutzen — verhindert Downgrade-Angriffe. Zweitens Certificate Transparency: öffentliche Logs verifizieren Zertifikat-Ausstellung — Standard 2026. Drittens automatische Renewal-Pflege: Let's Encrypt-Zertifikate laufen alle 90 Tage ab — Auto-Renewal via Certbot oder Caddy ist Pflicht, manuelle Pflege führt zu Ausfaellen. Bei Cloudflare und kommerziellen Anbietern ist Auto-Renewal Standard.
Wichtig zur Abgrenzung: HTTPS ist nicht Core Web Vitals, ist nicht Sicherheits-Audit. HTTPS adressiert Verschlüsselung der Übertragung. Core Web Vitals adressieren Performance. Ein Sicherheits-Audit umfasst darüber hinaus XSS-Schutz, CSRF-Tokens, SQL-Injection-Prävention. Alle drei sind separate Disziplinen mit unterschiedlichen Best-Practices, aber HTTPS ist 2026 die universellste Hygiene-Anforderung.
3. Praxisbeispiel
HTTPS-Setup für KMU-Sites:
# Variante 1: Let's Encrypt mit Certbot
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.ch -d www.example.ch
# Auto-Renewal via Cron (alle 60 Tage):
0 3 * * * /usr/bin/certbot renew --quiet
# Variante 2: Cloudflare (Empfohlen für KMU)
1. Cloudflare-Account erstellen
2. Domain bei Cloudflare registrieren oder Nameserver-Update
3. SSL/TLS-Modus 'Full (strict)' aktivieren
4. Always Use HTTPS einschalten
5. HSTS aktivieren (max-age=31536000)
# Variante 3: Hosting-Provider mit integriertem SSL
Hostpoint, Cyon, Infomaniak: Let's Encrypt im Control-Panel
Plesk/cPanel: SSL/TLS-Manager mit One-Click-Setup
# HSTS-Header (zusätzlich zu HTTPS)
Strict-Transport-Security: max-age=31536000; includeSubDomains
# Verifikation:
1. https://www.ssllabs.com/ssltest/ -> A oder A+ Score
2. Browser-Adresszeile zeigt Schloss-Symbol
3. Google Search Console -> 'Security Issues'-Bericht clean
4. Server-Logs: keine HTTP-Anfragen mehr (alle redirected)
# Migration HTTP -> HTTPS Checkliste:
1. Zertifikat installieren
2. 301-Redirects von HTTP zu HTTPS
3. Interne Links auf HTTPS aktualisieren
4. Sitemap.xml auf HTTPS-URLs aktualisieren
5. robots.txt-URL prüfen
6. Canonical-Tags auf HTTPS-Variante
7. Google Search Console: HTTPS-Property hinzufügen
8. Externe Backlinks können bleiben (301-Redirect leitet weiter)
9. CDN/Cache flushen
10. SSL-Test durchführenHTTPS-Migration ist 2026 Standard-Setup, kein strategischer Hebel mehr. Aufwand: 2-4 Stunden initial, danach automatisierte Pflege via Auto-Renewal. Sites ohne HTTPS verlieren 2026 systematisch — nicht-verhandelbare Foundation.
4. Typische Fehler & Missverständnisse
- HTTP-Site weiter betreiben — verschenkt Ranking, User-Trust und KI-Crawler-Coverage.
- Zertifikat manuell pflegen ohne Auto-Renewal — Let's Encrypt-Ausfälle nach 90 Tagen typisch.
- Mixed Content (HTTP-Inhalte auf HTTPS-Site) — Browser-Warnungen, schwächt Trust-Signal.
- Bei Migration interne Links nicht aktualisieren — produziert unnötige Redirect-Chains.
- HSTS-Header weglassen — verhindert keine Downgrade-Angriffe und Cookie-Hijacking.
5. Best Practices
- Aktiviere HTTPS auf allen Domains und Subdomains via Let's Encrypt oder Cloudflare.
- Implementiere Auto-Renewal — Let's Encrypt-Zertifikate laufen alle 90 Tage ab.
- Setze HSTS-Header für maximale Sicherheit gegen Downgrade-Angriffe.
- Migriere Mixed Content vollständig — alle Bilder, Scripts, Stylesheets via HTTPS laden.
- Prüfe SSL-Labs-Score regelmässig — Ziel ist A oder A+ (max-strength).
- Nutze 301-Redirects von HTTP zu HTTPS, nicht 302 — permanent Authority-Transfer.
6. Fakten
- Google bestätigte HTTPS 2014 als Ranking-Signal; 2018 begann Chrome, HTTP-Sites als 'Not Secure' zu markieren.
- Let's Encrypt wurde 2014 von der Internet Security Research Group lanciert; gratis Zertifikate mit Auto-Renewal.
- Im DACH-Raum 2026 nutzen schätzungsweise 95-98% aller aktiven KMU-Sites HTTPS — gestiegen von etwa 50% (2017).
- TLS 1.3 ist seit 2018 der aktuelle Standard; TLS 1.0 und 1.1 sind seit 2020 deprecated.
- Cloudflare ist 2026 weltweit der grösste CDN- und SSL-Anbieter mit über 20% Marktanteil aller HTTPS-Sites.
- GPTBot, ClaudeBot und PerplexityBot crawlen 2026 primär HTTPS-Sites — HTTP-Sites werden teilweise nicht mehr gecrawlt.
Definition von Marco Biner · Certified GEO Expert
HTTPS ist 2026 Pflicht-Foundation, kein strategischer Hebel mehr. Bei Klienten thematisiere ich HTTPS nur, wenn die Site noch HTTP nutzt — und das ist 2026 selten geworden (unter 5% der DACH-KMU-Sites). Falls HTTPS fehlt: sofortige Migration priorität, Aufwand 2-4 Stunden via Let's Encrypt oder Cloudflare. Ohne HTTPS keine Google-Sichtbarkeit, Browser-Warnungen, schlechtere KI-Crawler-Coverage. Migration ist der billigste GEO-Hebel überhaupt — strukturelle Sichtbarkeit über alle Plattformen hinweg.
GEO Importance Rank
Wie wichtig ist dieser Begriff für Generative Engine Optimization?
FAQs
Was ist HTTPS?
Die verschluesselte Variante des HTTP-Protokolls, basierend auf TLS (Transport Layer Security). Daten zwischen Browser und Server werden verschluesselt uebertragen. Drei Funktionen: Vertraulichkeit, Integritaet, Authentizitaet via Zertifikat.
Brauche ich HTTPS für meine Site?
Ja, zwingend. Seit 2018 von Google als Ranking-Signal genutzt; Browser markieren HTTP-Sites als 'Not Secure'. KI-Crawler (GPTBot, ClaudeBot) crawlen 2026 primär HTTPS. Ohne HTTPS systematischer Sichtbarkeits-Verlust und User-Trust-Probleme.
Was sind die gaengigsten HTTPS-Setup-Optionen?
Drei Optionen 2026: erstens Let's Encrypt (gratis, automatisiert, weit verbreitet) via Certbot. Zweitens Cloudflare (kombiniert mit CDN, gratis Basis-Tier). Drittens kommerzielle Zertifikate (50-300 CHF/Jahr) für Enterprise oder spezifische Compliance-Anforderungen.
Was ist HSTS?
HTTP Strict Transport Security — ein HTTP-Header, der Browser anweist, immer HTTPS zu nutzen, auch bei direkten URL-Eingaben. Verhindert Downgrade-Angriffe und Cookie-Hijacking. Standard-Header: 'Strict-Transport-Security: max-age=31536000; includeSubDomains'.
Wie migriere ich von HTTP zu HTTPS?
Zehn-Schritt-Migration: Zertifikat installieren, 301-Redirects setzen, interne Links aktualisieren, <a href="/glossar/sitemap-xml">Sitemap</a> aktualisieren, <a href="/glossar/robots-txt">robots.txt</a> prüfen, Canonical-Tags prüfen, Google Search Console HTTPS-Property hinzufügen, externe Backlinks (kein Update nötig), CDN flushen, SSL-Test durchführen. Aufwand: 2-4 Stunden.
Was ist Mixed Content?
HTTPS-Site mit eingebetteten HTTP-Inhalten (Bilder, Scripts, Stylesheets via http://). Browser zeigen Warnungen ('Insecure Resources'). Lösung: alle Inhalte via HTTPS laden. Tool: Browser-DevTools 'Console'-Tab zeigt Mixed-Content-Warnungen.
Verwandte Begriffe
Eigene AI-Sichtbarkeit messen
Kostenlose SEAKT-Analyse für jede Website — Score in unter 2 Minuten.
Jetzt analysieren →