Von HTTP zu HTTPS: Schritt-für-Schritt-Umzugsanleitung

Die HTTPS-Umstellung macht Ihre Website nicht nur sicher: Sie schützt Ihre SEO-Rankings, entfernt die Browser-Warnung "Nicht sicher" und stärkt das Vertrauen der Besucher. Diese Anleitung fasst den gesamten Prozess von Anfang bis Ende zusammen, vom Zertifikat bis zur Überprüfung, und endet mit einer fertigen Checkliste. Da die Details in unseren anderen Artikeln stehen, konzentrieren wir uns hier auf den Gesamtablauf.

1. SSL-Zertifikat besorgen und installieren

Alles beginnt mit dem Zertifikat. Unser kostenloses 90-Tage-Let's-Encrypt-DV-Zertifikat erhalten Sie in wenigen Minuten, ganz ohne Konto. Unser kostenloser SSL-Assistent liefert Ihnen ein einziges ZIP mit den Dateien CRT, KEY, CA Bundle, fullchain und PFX.

Laden Sie die passenden Dateien für Ihr Panel hoch (cPanel, Plesk, IIS): meist Zertifikat (CRT), privater Schlüssel (KEY) und Kette (CA Bundle). Unter IIS enthält die einzelne PFX-Datei alles.

2. Alle internen Links und Ressourcen auf https umstellen

Aktualisieren Sie interne Links sowie Bild-, CSS- und JavaScript-Pfade auf https://. Am robustesten sind absolute https-Pfade, nicht protokollrelative. Bei einem CMS wie WordPress stellen Sie die Seitenadresse im Dashboard auf https und ersetzen verbliebene http://-Verweise per Suchen-und-Ersetzen in der Datenbank.

3. 301-Weiterleitung von HTTP zu HTTPS

Leiten Sie den gesamten http-Verkehr dauerhaft auf die https-Version um. Eine 301-Weiterleitung (permanent) schickt Besucher und Suchmaschinen zur neuen Adresse und bewahrt den Ranking-Wert Ihrer alten URLs.

Für Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Für Nginx:

server {
    listen 80;
    server_name beispiel.de www.beispiel.de;
    return 301 https://$host$request_uri;
}

4. Mixed Content bereinigen

Wird eine Seite über https geladen, eine Ressource aber noch über http aufgerufen, zeigt der Browser eine Mixed-Content-Warnung und das Schloss-Symbol bricht. Prüfen Sie die Warnungen in der Entwicklerkonsole des Browsers und stellen Sie jede verbliebene http://-Ressource auf https um. Bei Mixed Content ist https zwingend; nicht ladende Ressourcen (besonders Skripte) werden vom Browser blockiert.

5. HSTS zuletzt hinzufügen

Der HSTS-Header (HTTP Strict Transport Security) weist den Browser an, Ihre Seite immer über https zu öffnen. Da der Schutz sehr stark ist, sollte er der letzte Schritt sein: erst hinzufügen, wenn Weiterleitung und Mixed Content fehlerfrei funktionieren.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Testen Sie zuerst mit einem kurzen max-age und erhöhen Sie es, sobald alles passt.

6. HTTPS-Property und Sitemap in der Search Console

In der Google Search Console gilt die https://-Version als eigene Property. Fügen Sie die neue https-Property hinzu, verifizieren Sie sie und reichen Sie Ihre Sitemap (jetzt mit https-URLs) erneut ein. Behalten Sie die alte http-Property weiter im Blick, um zu sehen, dass die 301er verarbeitet werden.

7. Canonical, Analytics und Werbe-Tags

Aktualisieren Sie Ihre rel="canonical"-Tags auf die https-Version. Stellen Sie die Seitenadresse in Google Analytics, Tag Manager, Werbenetzwerken und Social-Pixeln ebenfalls auf https, damit Messung und Conversion-Tracking nicht abreißen.

8. Überprüfung

Prüfen Sie Ihre Zertifikatskette mit einem SSL-Testtool, bestätigen Sie das Schloss-Symbol im Browser und besuchen Sie einige alte http-URLs, um zu sehen, dass die 301er auf https landen.

Umstellungs-Checkliste

  • Zertifikat: SSL-Zertifikat besorgt und auf dem Server installiert.
  • Interne Links: alle Link- und Ressourcenpfade auf https gesetzt.
  • 301: HTTP→HTTPS-Permanentweiterleitung aktiv (inkl. www).
  • Mixed Content: keine Konsolenwarnungen mehr, Schloss intakt.
  • HSTS: Header zuletzt hinzugefügt, während alles sauber läuft.
  • Search Console: https-Property hinzugefügt, Sitemap erneut eingereicht.
  • Canonical & Tags: Canonical-, Analytics-, Werbe- und Pixel-Adressen auf https.
  • Überprüfung: SSL-Test bestanden, 301er und Schloss verifiziert.

Zusammenfassung

Die HTTPS-Umstellung ist ein geplanter Umzug, bei dem Zertifikat, Weiterleitung, Mixed Content und HSTS in der richtigen Reihenfolge erledigt werden. Der erste und wichtigste Schritt ist das Zertifikat. Holen Sie Ihr 90-Tage-Zertifikat über unseren kostenlosen SSL-Assistenten und arbeiten Sie die Checkliste von oben nach unten ab. Eine E-Mail-Erinnerung warnt Sie zudem vor dem Ablauf.