--- title: SSL/HTTPS slug: ssl-https canonical_url: https://www.geoquality.ai/glossar/ssl-https md_url: https://www.geoquality.ai/glossar/ssl-https.md language: de last_modified: 2026-05-07T00:00:00+00:00 related_terms: [core-web-vitals, crawling, robots-txt, trust-signal] content_hash: da0c78b191a63436 license: CC BY 4.0 author: Marco Biner (geoquality.ai) schema_type: DefinedTerm --- # SSL/HTTPS SSL/HTTPS bezeichnet die verschlüsselte HTTP-Verbindung zwischen Browser und Server, basierend auf dem TLS-Protokoll (Transport Layer Security). Seit 2018 von Google als Ranking-Faktor offiziell bestätigt; 2026 absolute Hygiene-Anforderung — Sites ohne HTTPS verlieren systematisch Sichtbarkeit und User-Trust. ## Erläuterung SSL/HTTPS ist die verschlüsselte Variante des HTTP-Protokolls. SSL (Secure Sockets Layer) war der ursprüngliche Standard aus den 1990er-Jahren; heute wird das modernere TLS (Transport Layer Security) verwendet, der Begriff 'SSL' bleibt umgangssprachlich. HTTPS bedeutet HTTP über TLS — alle Daten zwischen Browser und Server werden verschlüsselt übertragen, nicht im Klartext. Drei Funktionen: Erstens Vertraulichkeit (Daten können nicht von Dritten mitgelesen werden). Zweitens Integrität (Daten können nicht manipuliert werden während der Übertragung). Drittens Authentizität (der Server-Identität wird via Zertifikat verifiziert). Für GEO ist HTTPS 2026 absolute Hygiene-Anforderung. Google bestätigte HTTPS 2014 als Ranking-Signal; 2018 begann Chrome, HTTP-Sites als 'Not Secure' zu markieren. GPTBot , ClaudeBot und andere KI-Crawler erwarten 2026 Standard-mässig HTTPS — Sites ohne HTTPS werden teilweise nicht mehr gecrawlt. Browser-Warnungen vor HTTP-Sites schrecken User ab und reduzieren Click-Through-Rate drastisch. Konsequenz: HTTPS-Migration ist 2026 nicht-verhandelbare Foundation jeder Site. Drei Setup-Optionen dominieren 2026. Erstens Let's Encrypt : gratis, automatisiert, weit verbreitet. Standard für die meisten KMU-Sites. Auto-Renewal alle 90 Tage über Tools wie Certbot. Zweitens Cloudflare : kombiniert HTTPS-Setup mit CDN-Performance — gratis Basis-Tier verfügbar. Beliebte Kombination für moderne Web-Setups. Drittens kommerzielle Zertifikate (DigiCert, Sectigo, GlobalSign): typisch 50-300 CHF pro Jahr, mit Extended-Validation-Optionen. Sinnvoll für Enterprise-Sites mit spezifischen Compliance-Anforderungen oder Banking/E-Commerce-Branchen, die EV-Trust-Signale benötigen. Strategisch sollten Sites zusätzlich zur HTTPS-Aktivierung drei Hardening-Massnahmen umsetzen. Erstens HSTS (HTTP Strict Transport Security) : HTTP-Header, der Browser anweist, immer HTTPS zu nutzen — verhindert Downgrade-Angriffe. Zweitens Certificate Transparency : öffentliche Logs verifizieren Zertifikat-Ausstellung — Standard 2026. Drittens automatische Renewal-Pflege : Let's Encrypt-Zertifikate laufen alle 90 Tage ab — Auto-Renewal via Certbot oder Caddy ist Pflicht, manuelle Pflege führt zu Ausfaellen. Bei Cloudflare und kommerziellen Anbietern ist Auto-Renewal Standard. Wichtig zur Abgrenzung: HTTPS ist nicht Core Web Vitals , ist nicht Sicherheits-Audit. HTTPS adressiert Verschlüsselung der Übertragung. Core Web Vitals adressieren Performance. Ein Sicherheits-Audit umfasst darüber hinaus XSS-Schutz, CSRF-Tokens, SQL-Injection-Prävention. Alle drei sind separate Disziplinen mit unterschiedlichen Best-Practices, aber HTTPS ist 2026 die universellste Hygiene-Anforderung. ## Praxisbeispiel HTTPS-Setup für KMU-Sites: # Variante 1: Let's Encrypt mit Certbot sudo apt install certbot python3-certbot-nginx sudo certbot --nginx -d example.ch -d www.example.ch # Auto-Renewal via Cron (alle 60 Tage): 0 3 * * * /usr/bin/certbot renew --quiet # Variante 2: Cloudflare (Empfohlen für KMU) 1. Cloudflare-Account erstellen 2. Domain bei Cloudflare registrieren oder Nameserver-Update 3. SSL/TLS-Modus 'Full (strict)' aktivieren 4. Always Use HTTPS einschalten 5. HSTS aktivieren (max-age=31536000) # Variante 3: Hosting-Provider mit integriertem SSL Hostpoint, Cyon, Infomaniak: Let's Encrypt im Control-Panel Plesk/cPanel: SSL/TLS-Manager mit One-Click-Setup # HSTS-Header (zusätzlich zu HTTPS) Strict-Transport-Security: max-age=31536000; includeSubDomains # Verifikation: 1. https://www.ssllabs.com/ssltest/ -> A oder A+ Score 2. Browser-Adresszeile zeigt Schloss-Symbol 3. Google Search Console -> 'Security Issues'-Bericht clean 4. Server-Logs: keine HTTP-Anfragen mehr (alle redirected) # Migration HTTP -> HTTPS Checkliste: 1. Zertifikat installieren 2. 301-Redirects von HTTP zu HTTPS 3. Interne Links auf HTTPS aktualisieren 4. Sitemap.xml auf HTTPS-URLs aktualisieren 5. robots.txt-URL prüfen 6. Canonical-Tags auf HTTPS-Variante 7. Google Search Console: HTTPS-Property hinzufügen 8. Externe Backlinks können bleiben (301-Redirect leitet weiter) 9. CDN/Cache flushen 10. SSL-Test durchführen HTTPS-Migration ist 2026 Standard-Setup, kein strategischer Hebel mehr. Aufwand: 2-4 Stunden initial, danach automatisierte Pflege via Auto-Renewal. Sites ohne HTTPS verlieren 2026 systematisch — nicht-verhandelbare Foundation. ## Häufige Fehler - HTTP-Site weiter betreiben — verschenkt Ranking, User-Trust und KI-Crawler-Coverage. - Zertifikat manuell pflegen ohne Auto-Renewal — Let's Encrypt-Ausfälle nach 90 Tagen typisch. - Mixed Content (HTTP-Inhalte auf HTTPS-Site) — Browser-Warnungen, schwächt Trust-Signal. - Bei Migration interne Links nicht aktualisieren — produziert unnötige Redirect-Chains. - HSTS-Header weglassen — verhindert keine Downgrade-Angriffe und Cookie-Hijacking. ## Best Practices - Aktiviere HTTPS auf allen Domains und Subdomains via Let's Encrypt oder Cloudflare. - Implementiere Auto-Renewal — Let's Encrypt-Zertifikate laufen alle 90 Tage ab. - Setze HSTS-Header für maximale Sicherheit gegen Downgrade-Angriffe. - Migriere Mixed Content vollständig — alle Bilder, Scripts, Stylesheets via HTTPS laden. - Prüfe SSL-Labs-Score regelmässig — Ziel ist A oder A+ (max-strength). - Nutze 301-Redirects von HTTP zu HTTPS, nicht 302 — permanent Authority-Transfer. ## Fakten - Google bestätigte HTTPS 2014 als Ranking-Signal; 2018 begann Chrome, HTTP-Sites als 'Not Secure' zu markieren. - Let's Encrypt wurde 2014 von der Internet Security Research Group lanciert; gratis Zertifikate mit Auto-Renewal. - Im DACH-Raum 2026 nutzen schätzungsweise 95-98% aller aktiven KMU-Sites HTTPS — gestiegen von etwa 50% (2017). - TLS 1.3 ist seit 2018 der aktuelle Standard; TLS 1.0 und 1.1 sind seit 2020 deprecated. - Cloudflare ist 2026 weltweit der grösste CDN- und SSL-Anbieter mit über 20% Marktanteil aller HTTPS-Sites. - GPTBot, ClaudeBot und PerplexityBot crawlen 2026 primär HTTPS-Sites — HTTP-Sites werden teilweise nicht mehr gecrawlt. ## FAQ ### Was ist HTTPS? Die verschluesselte Variante des HTTP-Protokolls, basierend auf TLS (Transport Layer Security). Daten zwischen Browser und Server werden verschluesselt uebertragen. Drei Funktionen: Vertraulichkeit, Integritaet, Authentizitaet via Zertifikat. ### Brauche ich HTTPS für meine Site? Ja, zwingend. Seit 2018 von Google als Ranking-Signal genutzt; Browser markieren HTTP-Sites als 'Not Secure'. KI-Crawler (GPTBot, ClaudeBot) crawlen 2026 primär HTTPS. Ohne HTTPS systematischer Sichtbarkeits-Verlust und User-Trust-Probleme. ### Was sind die gaengigsten HTTPS-Setup-Optionen? Drei Optionen 2026: erstens Let's Encrypt (gratis, automatisiert, weit verbreitet) via Certbot. Zweitens Cloudflare (kombiniert mit CDN, gratis Basis-Tier). Drittens kommerzielle Zertifikate (50-300 CHF/Jahr) für Enterprise oder spezifische Compliance-Anforderungen. ### Was ist HSTS? HTTP Strict Transport Security — ein HTTP-Header, der Browser anweist, immer HTTPS zu nutzen, auch bei direkten URL-Eingaben. Verhindert Downgrade-Angriffe und Cookie-Hijacking. Standard-Header: 'Strict-Transport-Security: max-age=31536000; includeSubDomains'. ### Wie migriere ich von HTTP zu HTTPS? Zehn-Schritt-Migration: Zertifikat installieren, 301-Redirects setzen, interne Links aktualisieren, Sitemap aktualisieren, robots.txt prüfen, Canonical-Tags prüfen, Google Search Console HTTPS-Property hinzufügen, externe Backlinks (kein Update nötig), CDN flushen, SSL-Test durchführen. Aufwand: 2-4 Stunden. ### Was ist Mixed Content? HTTPS-Site mit eingebetteten HTTP-Inhalten (Bilder, Scripts, Stylesheets via http://). Browser zeigen Warnungen ('Insecure Resources'). Lösung: alle Inhalte via HTTPS laden. Tool: Browser-DevTools 'Console'-Tab zeigt Mixed-Content-Warnungen. ## Experten-Definition HTTPS ist 2026 Pflicht-Foundation, kein strategischer Hebel mehr. Bei Klienten thematisiere ich HTTPS nur, wenn die Site noch HTTP nutzt — und das ist 2026 selten geworden (unter 5% der DACH-KMU-Sites). Falls HTTPS fehlt: sofortige Migration priorität, Aufwand 2-4 Stunden via Let's Encrypt oder Cloudflare. Ohne HTTPS keine Google-Sichtbarkeit, Browser-Warnungen, schlechtere KI-Crawler-Coverage. Migration ist der billigste GEO-Hebel überhaupt — strukturelle Sichtbarkeit über alle Plattformen hinweg. ## Verwandte Begriffe - [Core Web Vitals](https://www.geoquality.ai/glossar/core-web-vitals.md) — Core Web Vitals sind Googles drei zentrale Performance-Metriken zur Bewertung der User-Experience: Largest Contentful Paint (LCP), Interaction to Next Paint (INP) und Cumulative Layout Shift (CLS). Seit 2021 offizieller Ranking-Faktor in Google-Suche; 2026 weiterhin relevant für klassisches SEO und indirekt für GEO. - [Crawling](https://www.geoquality.ai/glossar/crawling.md) — Crawling bezeichnet den systematischen Prozess, mit dem Web-Crawler Inhalte einer Website abrufen, durchqueren und indexieren. Im KI-Zeitalter erweitert sich Crawling um spezialisierte KI-Crawler wie GPTBot, ClaudeBot, PerplexityBot und Google-Extended — neben dem klassischen Googlebot, der seit 1998 Web-Inhalte für Google-Suche sammelt. - [robots.txt](https://www.geoquality.ai/glossar/robots-txt.md) — robots.txt ist eine Textdatei im Root-Verzeichnis einer Website, die Crawlern Zugriffsregeln signalisiert — für GEO entscheidend, weil sie als erstes Hindernis darüber entscheidet, ob KI-Crawler die Site überhaupt indexieren dürfen. - [Trust-Signal](https://www.geoquality.ai/glossar/trust-signal.md) — Trust-Signale sind alle technischen und inhaltlichen Indikatoren, die einer Site (oder einer Person) Vertrauen zuschreiben — von HTTPS und Impressum über Schema-Markup bis zu Reviews und Awards. Im KI-Zeitalter sind strukturelle Trust-Signale (Schema, sameAs, hasCredential) wichtiger als visuelle (Trust-Badges, Siegel). ## Quelle und Zitation - HTML-Original: https://www.geoquality.ai/glossar/ssl-https - Lizenz: CC BY 4.0 - Zitiervorschlag: "SSL/HTTPS (geoquality.ai Glossar, Biner 2026)"