Defaults.Exposed › Behebungen › HTTPS & erzwungene sichere Weiterleitung

So beheben Sie HTTPS & erzwungene sichere Weiterleitung

HTTPS ist das Schloss-Symbol in der Browserleiste — es verschlüsselt alles, was zwischen Ihrer Website und Ihren Kunden übertragen wird, sodass es unterwegs nicht gelesen oder manipuliert werden kann. Die erzwungene sichere Weiterleitung stellt sicher, dass Besucher automatisch auf der verschlüsselten Version landen, selbst wenn sie Ihre Adresse ohne 'https://' eintippen. Zusammen sind sie das Grundlegendste, was eine Website braucht, um überhaupt als sicher zu gelten.

Das Wichtigste für Ihr Unternehmen: Ohne HTTPS überquert jedes Passwort, jede Kartennummer und jede Nachricht, die ein Kunde Ihnen sendet, das Internet als lesbarer Text, und Chrome, Edge, Safari und Firefox stempeln Ihre Seite für jeden Besucher mit 'Nicht sicher', bevor er ein Wort liest. Ohne die Weiterleitung lassen selbst Seiten mit Zertifikat den allerersten Besuch ungeschützt. Beides kostet Sie Vertrauen, Umsatz und Suchranking — und beides ist in Minuten kostenlos behoben.

Was Sie das kosten kann

• Ein Erstbesucher sieht eine große 'Nicht sicher'-Warnung in dem Moment, in dem Ihre Seite lädt. Die meisten nehmen an, die Seite sei gefälscht, defekt oder unsicher, und gehen zu einem Wettbewerber — und Sie erfahren nicht einmal, dass der Verkauf verloren ging.
• Ein Kunde gibt seine Kartendaten ein oder meldet sich über eine unverschlüsselte Verbindung aus einem Café, Hotel oder Flughafen an. Jemand im selben WLAN liest sie im Klartext, und die folgenden betrügerischen Abbuchungen werden Ihnen angelastet.
• Das Einkaufs- oder Sicherheitsteam eines größeren Kunden führt vor der Unterschrift einen schnellen Scan durch, sieht kein HTTPS oder eine fehlende erzwungene sichere Weiterleitung und legt den Auftrag auf Eis, bis Sie die Behebung belegen können.
• Google reiht Sie hinter Wettbewerbern ein, die HTTPS ausliefern, sodass Sie jahrelang still und leise Suchverkehr verlieren, ohne es je mit dieser Lücke in Verbindung zu bringen.
• Eine Aufsichtsbehörde oder Ihr Zahlungsanbieter wertet das unverschlüsselte Versenden personenbezogener oder Kartendaten als meldepflichtigen Mangel und macht aus einer kostenlosen Fünf-Minuten-Behebung ein Compliance-Problem.

Warum es wichtig ist. HTTPS ist der Boden, nicht die Decke der Websicherheit — es ist das, was das Schloss-Symbol erscheinen lässt und was verhindert, dass alles, was Ihre Kunden senden, unterwegs gelesen oder verändert wird. Die erzwungene sichere Weiterleitung schließt die Lücke, die ein Zertifikat allein offenlässt: Menschen tippen fast nie 'https://', sodass ohne Weiterleitung ihre erste Anfrage ungeschützt reist, bevor die sichere Version überhaupt lädt. Eine Seite, der eines davon fehlt, wirkt für Besucher unsicher, rangiert in der Suche niedriger und legt echte Kundendaten offen — weshalb dies der am stärksten gewichtete Einzelfehler ist, den wir bewerten.

Was das ist, in einfachen Worten

HTTPS ist die sichere, verschlüsselte Version Ihrer Website — diejenige, die ein Schloss-Symbol in der Adressleiste zeigt. Wenn ein Besucher auf HTTPS ist, wird alles, was zwischen seinem Browser und Ihrer Seite übertragen wird (die Seiten, die er sieht, die Formulare, die er ausfüllt, seine Passwörter, seine Kartendaten), verschlüsselt, sodass niemand dazwischen es lesen oder verändern kann. Die einfache Version, HTTP, sendet all das als lesbaren Text, den jeder im selben Netzwerk abfangen kann.

Es gibt zwei Teile, das richtig zu machen, und wir prüfen beide:

• Ist HTTPS überhaupt verfügbar? Hat Ihre Seite ein funktionierendes Sicherheitszertifikat, sodass die sichere, mit Schloss versehene Version existiert? Das ist der ernstere der beiden — ohne es gibt es überhaupt keine Verschlüsselung.
• Zwingt Ihre Seite Besucher darauf? Fast niemand tippt „https://” von Hand. Wenn jemand nur Ihren Domainnamen eintippt, versucht sein Browser zuerst die einfache HTTP-Version. Eine erzwungene sichere Weiterleitung lenkt diese Anfrage automatisch auf die verschlüsselte Version um. Ohne sie sind die ersten Momente jedes Besuchs ungeschützt, selbst wenn Sie ein Zertifikat haben.

Sie wollen beides. Ein Zertifikat ohne Weiterleitung ist eine verriegelte Eingangstür, um die Besucher schlicht herumgehen können.

Was auf dem Spiel steht

Das ist das grundlegendste Signal dafür, ob eine Website sicher ist — und entscheidend: Es ist eines, das Ihre Kunden selbst sehen können. Jeder moderne Browser (Chrome, Edge, Safari, Firefox) kennzeichnet eine Seite ohne HTTPS direkt in der Adressleiste als „Nicht sicher” und zeigt eine Warnung, wenn jemand versucht, in ein Formular zu tippen. Ihre Besucher müssen nicht wissen, was ein Zertifikat ist, um auf dieses Wort zu reagieren.

Über die sichtbare Warnung hinaus betrifft dies drei Dinge, die Inhaber direkt interessieren: Vertrauen (Menschen verlassen Seiten, die unsicher aussehen), Suchranking (Google nutzt HTTPS seit Jahren als Ranking-Signal und bevorzugt sichere Seiten) und echte Gefährdung (Daten, die über einfaches HTTP gesendet werden, können tatsächlich von anderen im selben Netzwerk gelesen werden). Es ist auch genau die Art von Sache, die das Sicherheitsteam eines größeren Kunden bei der Due-Diligence in Sekunden prüft — und es zu verfehlen kann ein Geschäft ins Stocken bringen.

Was Sie das kosten kann

• Der stille Absprung. Ein potenzieller Kunde klickt sich von einem Suchergebnis oder einer Anzeige durch, und die Seite lädt mit einem grauen „Nicht sicher”-Hinweis — oder schlimmer, einer bildschirmfüllenden Warnung. Er schreibt Ihnen nicht, um zu fragen, warum; er schließt einfach den Tab und klickt auf das nächste Ergebnis. Sie haben für diesen Besuch bezahlt und ihn verloren, bevor er ein Wort las, und nichts in Ihrer Analyse sagt Ihnen, warum.
• Ein abgefangenes Login oder eine abgefangene Zahlung. Ein Kunde meldet sich an oder kauft, während er im geteilten WLAN eines Hotels oder Cafés ist. Weil die Verbindung nicht verschlüsselt ist, erfasst jemand in der Nähe sein Passwort oder seine Kartennummer im Klartext. Der folgende Betrug wird als Ihre Sicherheitsverletzung gemeldet, und Sie sind derjenige, der die wütenden Anrufe und die Rückbuchungen bearbeitet.
• Das Geschäft, das ins Stocken gerät. Ein größerer Interessent ist unterschriftsbereit, aber sein Einkaufsprozess umfasst eine schnelle Sicherheitsprüfung Ihrer Website. Sie kommt zurück und markiert kein HTTPS oder eine fehlende erzwungene sichere Weiterleitung. Plötzlich erklären Sie eine grundlegende Sicherheitslücke, statt abzuschließen — und der Auftrag wartet oder geht still und leise an einen Wettbewerber, der die Prüfung bestanden hat.
• Das langsame Ranking-Leck. Zwei Unternehmen bieten dasselbe an; eines liefert sicheres HTTPS aus, eines nicht. Suchmaschinen schubsen das sichere höher. Über Monate verlieren Sie ein stetiges Rinnsal an kostenlosem Verkehr und bringen es nie mit dieser einen Einstellung in Verbindung.
• Eingeschleuste Inhalte, die Sie nie geschrieben haben. Auf einer unverschlüsselten Verbindung kann jeder in der Mitte — ein zwielichtiges öffentliches Netzwerk, ein kompromittierter Router — gefälschte Pop-ups, Betrugsangebote oder Schadsoftware in Ihre Seiten einfügen, während ein Besucher sie lädt. Für diesen Besucher sieht es so aus, als hätte Ihre Seite das getan.

Was es eigentlich ist

Wenn ein Browser sich über HTTPS mit einer Website verbindet, geschehen zwei Dinge. Erstens legt die Seite ein Zertifikat vor — eine von einer vertrauenswürdigen Stelle ausgestellte Bescheinigung, die beweist, dass die Seite ist, wer sie zu sein behauptet. Zweitens einigen sich Browser und Server auf einen Verschlüsselungsschlüssel und nutzen ihn, um alles, was sie austauschen, zu verschlüsseln. Unsere erste Prüfung, HTTPS verfügbar, fragt schlicht: Können wir eine sichere TLS-Verbindung zu Ihrer Seite auf dem standardmäßigen sicheren Port (443) herstellen und ein gültiges Zertifikat zurückbekommen? Wenn ja, kann das Schloss-Symbol erscheinen und die Verschlüsselung ist an. Wenn nein, gibt es überhaupt keine sichere Version Ihrer Seite — und das ist der schwerste Einzelfehler, den wir bewerten.

Die zweite Prüfung, die erzwungene sichere Weiterleitung, deckt eine Lücke ab, die das Zertifikat allein offenlässt. Menschen tippen „ihrunternehmen.com”, nicht „https://ihrunternehmen.com”. Diese nackte Anfrage geht zuerst zur einfachen HTTP-Version. Eine Weiterleitung ist eine einzeilige Anweisung, die sagt „schick jeden, der auf der unsicheren Version ankommt, direkt zur sicheren.” Unsere Prüfung fragt: Wenn wir Ihre einfache HTTP-Adresse anfordern, lenkt Ihre Seite uns auf HTTPS um? Wenn ja, landet jeder Besucher geschützt, egal wie er Ihre Adresse getippt hat. Wenn nicht, trägt dieser erste ungeschützte Sprung, was der Browser sendet — Cookies, Formulardaten — im Klartext.

Wie „gut” aussieht: ein gültiges, vertrauenswürdiges Zertifikat, sodass das Schloss-Symbol auf jeder Seite erscheint, und jede einfache HTTP-Anfrage automatisch auf die HTTPS-Version weitergeleitet (idealerweise mit einer dauerhaften „301”-Weiterleitung, die auch Ihren Suchranking-Wert sauber an die sichere Adresse weitergibt).

So beheben Sie es (kostenlos, ~15 Minuten)

Geben Sie diesen Abschnitt an Ihren IT-Menschen oder den Support Ihres Hosting-Anbieters — die Behebung ist kostenlos. Beide Teile davon kosten nichts: Vertrauenswürdige Zertifikate sind kostenlos und erneuern sich selbst, und das Einschalten der Weiterleitung ist auf den meisten Plattformen eine einzige Einstellung. Es ist kein kostenpflichtiges Produkt nötig, um dies zu bestehen.

Es sind zwei Dinge einzuschalten. Auf den meisten modernen Hostings macht das erste oft das zweite zu einem Ein-Klick-Schalter.

1. Holen Sie ein Zertifikat, damit HTTPS funktioniert (das Schloss-Symbol).

• Cloudflare: Wenn Ihre Seite hinter Cloudflare liegt, wird SSL für Sie erledigt. Stellen Sie den SSL/TLS-Modus auf „Full” (oder „Full (strict)”, wenn Ihr Origin-Server ebenfalls ein Zertifikat hat).
• Website-Baukästen und Managed-Hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, die meisten Webhostings): HTTPS wird automatisch bereitgestellt; stellen Sie nur sicher, dass es in Ihren Seiten-/Domain-Einstellungen aktiviert ist — meist gibt es nichts zu installieren.
• cPanel-Hosting: Öffnen Sie SSL/TLS Status und führen Sie AutoSSL aus, das ein kostenloses Let’s-Encrypt-Zertifikat ausstellt.
• Ihr eigener Server (VPS): Installieren Sie Let’s Encrypt mit Certbot — sudo certbot --nginx -d ihredomain.com (oder --apache). Es holt und installiert ein kostenloses Zertifikat und richtet die automatische Erneuerung ein.
• Alles andere: Kontaktieren Sie den Support Ihres Hosting-Anbieters und bitten Sie ihn, „ein kostenloses SSL-Zertifikat für meine Domain zu aktivieren.” Fast alle bieten das ohne Kosten an.

2. Zwingen Sie jeden Besucher auf HTTPS (die Weiterleitung).

• Cloudflare: SSL/TLS → Edge Certificates → schalten Sie „Always Use HTTPS” ein. Das ist die ganze Arbeit.
• Website-Baukästen (Squarespace, Wix, Shopify usw.): Suchen Sie nach einem „Force HTTPS”- oder „Sicher (HTTPS)“-Schalter in Ihren Seiteneinstellungen und schalten Sie ihn ein.
• Nginx: Fügen Sie einen Server-Block auf Port 80 hinzu, der eine dauerhafte Weiterleitung zurückgibt — return 301 https://$host$request_uri;.
• Apache (.htaccess): Aktivieren Sie das Rewriting und leiten Sie jede Nicht-HTTPS-Anfrage um — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows-Hosting): Installieren Sie das URL-Rewrite-Modul und fügen Sie eine „HTTP zu HTTPS”-Weiterleitungsregel hinzu.

Nachdem beides an ist, testen Sie es: Tippen Sie Ihre Adresse mit einfachem http:// davor und bestätigen Sie, dass der Browser automatisch zur mit Schloss versehenen https://-Version springt und dass das Schloss-Symbol auf Ihren Hauptseiten erscheint.

Häufige Fehler

• Zertifikat installiert, aber keine Weiterleitung. Die häufigste Lücke. Sie sehen das Schloss-Symbol, wenn Sie Ihre eigene Seite besuchen (weil Ihr Browser sich HTTPS gemerkt hat), also nehmen Sie an, es sei erledigt — aber neue Besucher, die die nackte Domain eintippen, landen weiterhin zuerst auf HTTP. Testen Sie die einfache http://-Version immer ausdrücklich.
• Gemischter Inhalt. Ihre Seite lädt über HTTPS, zieht aber ein Bild, Skript oder eine Schrift von einer alten http://-Adresse. Browser blockieren es entweder oder stufen das Schloss-Symbol auf eine Warnung herab. Aktualisieren Sie diese Verweise auf https:// (oder auf relative Links). Die meisten Plattformen haben einen „Mixed Content”- oder „Unsicherer Inhalt”-Bericht, der sie findet.
• Eine temporäre (302) statt einer dauerhaften (301) Weiterleitung. Eine 302 funktioniert für Besucher, sagt Suchmaschinen aber, der Umzug sei temporär, sodass der Ranking-Wert nicht sauber auf Ihre sichere Adresse übertragen wird. Verwenden Sie eine dauerhafte 301.
• Nur die nackte Domain weiterleiten, nicht „www” (oder umgekehrt). Stellen Sie sicher, dass sowohl ihredomain.com als auch www.ihredomain.com auf HTTPS landen, sonst ist ein Pfad weiterhin gefährdet.
• Ein Zertifikat ablaufen lassen. Ein abgelaufenes Zertifikat wirft eine bildschirmfüllende Browser-Fehlermeldung, die Besucher abrupt stoppt. Kostenlose Let’s-Encrypt-Zertifikate erneuern sich automatisch; wenn Sie eines manuell gekauft haben, setzen Sie sich eine Kalendererinnerung weit vor dessen Ablauf.

FAQ

Siehe die Fragen oben — sie behandeln das nicht-technische „kann ich das selbst”, den Unterschied zwischen einem Schloss-Symbol und dem Erzwingen der Weiterleitung, Zertifikatskosten und -erneuerung, ob Broschüren-Seiten es brauchen, und wie sich das zu HSTS verhält.

FAQ