Hartnäckig hält sich der Irrglaube, HTTPS mache WordPress langsam. Tatsächlich ist genau das Gegenteil der Fall: Dank HTTP/2 werden SSL-verschlüsselte Seiten teils extrem beschleunigt. Und dank kostenloser SSL-Zertifikate und integrierter Installationen war es noch nie so einfach wie heute, WordPress auf HTTPS umzustellen. Und das ist auch gut so, denn HTTP-Seiten werden bald einige Nachteile in Kauf nehmen müssen. Wir zeigen, was die Umstellung bringt und wie du mit nur einem Blick prüfst, ob dein Hoster HTTP/2 nutzt.
Heute kennt eigentlich jeder Auftraggeber und Endnutzer den Unterschied zwischen verschlüsselten und unverschlüsselten Seiten. Zumindest auf einer subjektiven Ebene: Das grüne Schloss gibt einfach ein gutes Gefühl. Genauso bekannt wie der positive Effekt auf das Vertrauen der Seitenbesucher ist aber auch der Irrglaube SSL, beziehungsweise TLS (den Unterschied erklären z. B. die Kollegen von CHIP.de) mache WordPress langsam.
Und ja, theoretisch stimmt das auch: Denn wird eine Seite über HTTPS (also die sichere Variante von HTTP) ausgeliefert, dann dauert die Verbindung zwischen Webserver und Browser aufgrund des sog. SSL Handshake etwas länger. Wir sprechen hier aber lediglich von wenigen Millisekunden.
Heutzutage kann man es also getrost als Gerücht bezeichnen, dass HTTPS WordPress ausbremst. im Grunde bringt ein SSL-Zertifikat deiner Seite nämlich nur Vorteile. Und da Google bald damit beginnt unverschlüsselte Seiten mit dem Zusatz “nicht sicher” zu versehen, wird es höchste Zeit die eigene Seite jetzt auf HTTPS umzustellen.
Ich zeige dir heute:
- Warum jetzt der beste Zeitpunkt ist, um WordPress auf HTTPS umzustellen
- Wie du WordPress auf HTTPS umstellen kannst
- Warum HTTP/2 deine WordPress-Seiten schneller macht
- Welchen Performance-Schub du für eine WordPress-Seite unter HTTPS erwarten kannst
- Einen einfachen Trick, mit dem du erkennst, ob dein Hoster schon HTTP/2 nutzt (was er sollte!)
Alles dreht sich um HTTPS, egal ob WordPress oder nicht
Schon vor drei Jahren rief Google auf seiner Entwicklerkonferenz Google I/O die Devise “HTTPS everywhere” aus. Kurz gesagt brachen die damaligen Google-Entwickler Pierre Far und Ilja Grigorik eine Lanze für die Verwendung von TLS (dem Nachfolgeprotokoll von SSL) und zeigten in ihrer Session unter anderem Wege zur Implementierung auf.
Nur ein paar Wochen später, im August 2014, wurde HTTPS dann als offizielles Rankingsignal in das Google Suchranking aufgenommen. Google versucht also seit Jahren über Argumente und das Schaffen von Fakten Seitenbetreiber dazu zu bringen, ihre Webseiten auf HTTPS umzustellen.
Der Fakt, dass Google Chrome demnächst HTTP-Seiten mit dem Hinweis “nicht sicher” abstraft, ist sicherlich als der nächste große Schritt in Googles “HTTPS everywhere” Offensive anzusehen. Tatsächlich wird dieser Hinweis schon seit der Chrome-Version 56 für Seiten angezeigt, die z. B. Kreditkarteninformationen abrufen. Mit der neuen Version 62 des Google-Browsers wird diese Regel aber auf alle Seiten angewandt, die Kundeneingaben ermöglichen, also bspw. Kontaktformulare oder Suchfelder.
Passwords and credit cards are not the only types of data that should be private. Any type of data that users type into websites should not be accessible to others on the network, so starting in version 62 Chrome will show the “Not secure” warning when users type data into HTTP sites.
– Emily Schechter, Chrome Security Team
Kostenloses SSL: Noch nie war die Situation so günstig, um WordPress auf HTTPS umzustellen
Vor drei Jahren, als die beiden Google-Entwickler ihr Plädoyer für TLS hielten, musste man SSL-Zertifiakte noch kaufen und eigenhändig einbauen. Das hat sich mittlerweile dramatisch geändert; und zwar zum Besseren.
2016 startete die Let’s Encrypt Initiative ihre Ausgabe von kostenlosen SSL-Zertifikaten. Dank Sponsoren wie – wen wundert’s – Chrome, aber auch Facebook und Unternehmen aus dem WordPress-Universum, können die Kalifornier heute fast 40 Millionen aktive kostenlose SSL-Zertifikate bereitstellen.
Diese Entwicklung hat die Hostinglandschaft massiv beeinflusst: kostenlose SSL-Zertifikate sind heute Standard und auch die Einrichtung ist dank der Integration von Ein-Klick-Installationen heute für jeden Nutzer möglich.
Früher war HTTPS für WordPress ein echter Pain
Vor der massenhaften Verbreitung kostenloser SSL-Zertifikate vor gut zwei Jahren war das Umstellen von WordPress auf HTTPS ein echter Pain. Vor allem für Inhaber kleiner Seiten, die lediglich domainvalidierte Zertifikate brauchen.
Info: Diese Arten von SSL-Zertifikaten gibt es
- DV-Zertifikate: DV steht hier für Domain Validated. Ein DV-Zertifikat dient also dazu, zu prüfen ob Domain und Webspace „zusammengehören“. Geht es mit rechten Dingen zu, kann man davon ausgehen, dass man beim Ansteuern der Domain auch wirklich auf dem dazugehörigen Webspace landet und nicht auf einer Phishing-Seite. Der Einrichtungsprozess ist hier noch recht einfach: Der Domain-Admin bestätigt, dass er die entsprechenden Rechte über eine Domain hat und darf daraufhin seine Seite entsprechend verschlüsseln.
- OV-Zertifikate: OV steht für Organization Validated. Zusätzlich zur Domainvalidierung garantiert ein solches Zertifikat also, dass die angesteuerte Seite wirklich zu dem Unternehmen gehört, dessen Angebot man aufrufen wollte.
- EV-Zertifikate: Die sog. Extended Validated Certificates gehen noch einen Schritt weiter: Hier prüft die Zertifizierungsstelle intensiv die Firmenunterlagen. Es wird u.a. die Rechtsform des Unternehmens in das Zertifikate mit aufgenommen.
Schon das Einrichten eines einfachen DV-Zertifikats war für WordPress-Seiten früher ein echter Pain und für Nicht-Techniker unter Umständen gar nicht durchführbar. Denn der Prozess bestand aus mindestens vier Schritten:
- Zertifikat kaufen: Hier musste man sich mit der Anbieterlandschaft auseinandersetzen und sogar bei einfachen DV-Zertifikaten aktiv Preise und Konditionen vergleichen. Das hat auch dazu geführt, dass einige Anbieter sehr kreative Features, wie Versicherungen, erfunden haben, um ihre Produkte zu differenzieren. Bei erweiterten Zertifikaten kommt hier noch der Validierungsschritt hinzu, also der Nachweis, dass man als Domaininhaber auch der Unternehmensinhaber ist. Je nach Zertifikat konnte dieser Prozess Tage oder Wochen dauern.
- Zertifikat einrichten: Im nächsten Schritt musste die Zertifikatsinformation auf dem Webserver hinterlegt werden. Je nach Anbieter war das mehr oder weniger aufwändig. Mittlerweile haben aber eigentlich alle Hosting-Anbieter einen mehr oder weniger guten Workflow geschaffen, der dich als Nutzer durch den Einrichtungsprozess führt.
- WordPress für HTTPS vorbereiten: Nachdem das Zertifikat an sich eingerichtet wurde, musste die Seite auf die Umstellung von HTTP auf HTTPS vorbereitet werden. Hierzu musste jeder Datenbankeintrag und jede Ressource der Seite auf HTTPS umgestellt und das Ergebnis dann auf Mixed Content Fehler überprüft werden.
- Google konfigurieren: Nach der Umstellung der Seite mussten noch die Entities bei Google Analytics und in der Google Search Console (vormals Google Webmaster Tools) angepasst werden.
Durch die von Let’s Encrypt angestoßene Entwicklung hin zu den kostenlosen DV-Zertifikaten, hat sich dieser Prozess massiv vereinfacht. Viele Hoster bieten mittlerweile auch eine vereinfachte Installation an, bei der im besten Fall mit einem Klick ein Zertifikat aktiviert und eingerichtet wird und die Seite automatisch auf HTTPS umgestellt wird. Und zwar unabhängig davon, ob es sich um ein WordPress-Projekt handelt oder nicht.
TIPP: Du musst SSL ohne Ein-Klick-Installation einrichten?
Wenn du Pech hast, bietet dein Hoster noch keine vereinfachte Installation an. Dann musst du insbesondere die WordPress-seitigen Einstellungen für HTTPS noch selbst durchführen:
- Der Kollege Jonas Tietgen, aka WP Ninjas, erklärt wie’s geht.
- Ähnlich auch die Anleitung von René Dasbeck, aka netzgänger
- Und auch der Kollege Finn Hillebrandt von blogmojo hat sich mit dem Thema auseinandergesetzt
Ohne Google kein HTTP/2
Ich hatte es ja schon erwähnt: Google war im Rahmen seiner “HTTPS everywhere” Offensive schon immer daran interessiert, dass so viele Seiten wie möglich mit SSL-Zertifikat laufen. Das dürfte übrigens auch der Grund sein, weswegen Chrome offizieller Sponsor von Let’s Encrypt ist. Der Suchmaschinenriesen war aber auch maßgeblich an der Entwicklung von HTTP/2 beteiligt.
Denn das Vorgängerprotokoll, SPDY, wurde zunächst als Experiment von Google entwickelt, um technische Möglichkeiten auszuloten mit denen das fast schon antike HTTP/1 verbessert werden könnte. Das war 2009. 2015 gingen die Erkenntnisse aus dem experimentellen SPDY-Projekt dann in das standardisierte HTTP/2 Protokoll über.
Darum macht HTTP/2 deine WordPress-Seiten schneller
HTTP/2 wurde mit einer Fülle neuer Funktionen ausgestattet, die eine um ein Vielfaches schnellere Datenübertragung ermöglichen:
- Multiplexing: Mit diesem Feature können über eine Verbindung zwischen Webserver und Client (also dem Browser deiner Seitenbesucher), mehrere verschiedene Datenströme geladen werden. Mit HTTP/1 muss noch für jeden Datenstrom eine eigene Verbindung geöffnet werden. Und das Öffnen dieser Verbindungen nimmt Zeit in Anspruch.
- Header Compression: Jeder HTTP-Request, den ein Client an einen Webserver stellt enthält Metainformationen, damit die Seite richtig aufgebaut werden kann. Diese Metainformationen sind mit den Jahren immer größer geworden. HTTP/2 komprimiert diese Infos und spart somit Datenvolumen ein.
- Server Push: Wird manchmal auch Cache Push genannt. Das Prinzip hinter diesem Feature ist sehr einfach: Die allermeisten Anfragen an eine Seite sind sich sehr ähnlich. Erkennt also dein Webserver das typische Aufrufmuster, beispielsweise für deine Startseite, dann sendet der Server ungefragt alle Informationen an den Browser, die dieser braucht, um die Seite aufzubauen. So muss der Browser wesentlich weniger HTTP-Requests an den Server stellen. Das macht den Seitenaufbau schneller.
So, das klingt in der Theorie ja schon alles ganz nett. Aber was heißt das in der Praxis? Die Testseite HTTPS vs. HTTP zeigt eindrucksvoll wie groß der Unterschied zwischen den beiden Protokoll-Generationen ist.
Natürlich ist besonders interessant, wie sich diese neuen Features in der echten Welt auf die Ladezeit deiner Seiten auswirken. Ob deine Seite auf einem HTTP/2-fähigen Server läuft, kannst du einfach bei deinem Hoster erfragen (oder aber über diesen einfachen Trick selbst herausfinden). Vorausgesetzt natürlich WordPress läuft unter HTTPS.
Die Nagelprobe: HTTPS macht WordPress im Test um 45 Prozent schneller
Jetzt aber ans Eingemachte: Welchen Performanceschub kann man realisitischerweise von einer Umstellung einer WordPress-Seite auf HTTPS erwarten? Denn bei einer fertigen Seite werden sich nicht die gerade gemessenen 914 Prozent zeigen. Daher haben wir das ganze mal mit unserer Homepage getestet. D.h. wir haben raidboxes.de einmal mit und einmal ohne HTTPS durchgetestet.
Der Test zeigt: Eine Kopie unserer Startseite wird mit HTTPS auf einen Schlag um 45 Prozent schneller. Unser ausführlicher Test mit sieben aufeinanderfolgenden Tests von deutschen Servern zeigt ähnliche Ergebnisse.
Life-Hack für Webmaster: So erkennst du mit einem Blick, ob dein Hoster HTTP/2 nutzt
Und weil HTTPS deinen WordPress-WordPress-Projekten diesen komfortablen Performance-Schub bringt, ist es umso wichtiger, dass du weißt, ob dein Hoster HTTP/2 verwendet. Natürlich kannst du einfach im Support nachfragen, es gibt aber auch eine Methode, mit der du mit nur einem Blick erkennst, ob deine, oder jede andere Seite, die du testest, von HTTP/2 profitiert.
Dazu brauchst du nur eines: Ein Wasserfalldiagramm deiner Seite. Das erzeugst du durch eine Ladezeitmessung mit den Tools Webpagetest, Pingdom oder GTmetrix. Gib einfach die zu testende URL ein und lass den Test durchlaufen. Für diesen Trick ist es übrigens auch egal von wo aus und mit welchen Spezifikationen der Test durchgeführt wird.
Im fertigen Wasserfalldiagramm musst du jetzt nur noch darauf achten, ob einzelne Requests gleichzeitig oder ausschließlich chronologisch geladen werden. Werden sie gleichzeitig geladen, nutzt deine Seite von HTTP/2.
Hast du auf deinen WordPress-WordPress-Projekten HTTPS aktiviert und die Requests werden nicht parallel geladen, solltest du dringend Kontakt zu deinem Hoster aufnehmen 😉
Fazit: HTTPS als Chance für deine WordPress-Projekte
Vor Kurzem hat Google damit begonnen erste Warnemails an Betreiber von HTTP-Seiten zu versenden. Denn ab Version 62 wird der Chrome Browser Seiten, die Nutzereingaben ermöglichen mit dem Hinweis “nicht sicher” versehen.
Das heißt im Prinzip, dass jede HTTP-Seite mit Kontaktformular oder Kommentarfunktion, von Google gebrandmarkt wird. Zum Glück war es noch nie so einfach wie heute die eigenen WordPress-Seiten auf HTTPS umzustellen: SSL-Zertifikate sind größtenteils kostenlos und Ein-Klick-Installationen ersparen einen Haufen Arbeit bei der Einrichtung und ermöglichen auch technisch weniger versierten Webmastern die Umstellung. Und unser Test zeigt: Sogar mit einer wenig optimierten Seiten kann WordPress extrem von HTTPS profitieren und lädt schlicht deutlich schneller.
Im Optimalfall bedarf es dafür nur eines Klicks. Wenn du also noch Seiten unter HTTP betreibst, können wir nur dringend zum Wechsel raten.
Was macht man wenn ein Teil der Dateien mit HTTP 1.1 übertragen werden und der Rest mit HTTP 2?
Woran kann das liegen.
Es handelt sich um WordPress
Sehr gut & technisch erklärt. Bietet ihr auch Let’s Encrypt an?
Hi Julian, wie bieten aussschliesslich kostenloses SSL über Lets Encrypt an. 😉 gerne mehr dazu unter: https://raidboxes.de/lets-encrypt-gratis-ssl-zertifikat/. VG Torben
Hey Jan,
schöner Artikel von Dir und endlich mal jemand der die Technik Seite und die Performance mal erklärt sprich berücksichtigt 🙂
Weiter so, toller Blog
Grüße Manuel
Vielen Dank Manuel! Qualität vor Quantität ist uns sehr wichtig! VG Torben