HTTP (Hypertext Transfer Protocol) sendet Daten im Klartext — jeder im Netzwerk kann sie lesen. HTTPS (HTTP Secure) fügt TLS-Verschlüsselung hinzu — Daten werden Ende-zu-Ende zwischen Browser und Server verschlüsselt.
Stand 2026 nutzen 86,9 % der Websites HTTPS. Chrome wird HTTPS-First im Oktober 2026 zum Standard machen und eine ganzseitige Warnung für HTTP-Websites anzeigen.
Vergleich auf einen Blick
| HTTP | HTTPS | |
|---|---|---|
| URL-Präfix | http:// | https:// |
| Verschlüsselung | Keine — Klartext | TLS-Verschlüsselung (AES-256) |
| Standardport | 80 | 443 |
| Zertifikat erforderlich | Nein | Ja (kostenlos von Let’s Encrypt) |
| Browser-Anzeige | „Nicht sicher”-Warnung | Schloss-Symbol |
| Daten sichtbar für | Jeden im Netzwerk (ISP, WLAN, Proxys) | Nur Sender und Empfänger |
| Datenintegrität | Nein — kann während der Übertragung verändert werden | Ja — Manipulation wird erkannt |
| Authentifizierung | Keine — kein Identitätsnachweis | Zertifikat beweist Serveridentität |
| Geschwindigkeit | Nur HTTP/1.1 | HTTP/2 aktiviert (schneller) |
| SEO | Negativsignal (seit 2014) | Positivsignal |
| Moderne Web-APIs | Meist blockiert | Alle verfügbar |
| Kosten | Kostenlos | Kostenlos (Let’s Encrypt) |
| Chrome Okt. 2026 | Ganzseitige Warnung | Normal |
Was bei HTTP passiert (das Risiko)
Bei einer unverschlüsselten HTTP-Verbindung sieht ein Netzwerkbeobachter alles:
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123
Dazu gehören: besuchte URLs, Formulardaten (Benutzernamen, Passwörter, Kreditkarten), Cookies (Sitzungstoken), Seiteninhalt und API-Antworten. Jeder im selben WLAN, jeder Router zwischen Ihnen und dem Server sowie Ihr ISP können alles lesen.
Bei HTTPS sieht derselbe Beobachter:
[encrypted data — indistinguishable from random bytes]
Er kann die Ziel-IP und den Domainnamen (SNI) sehen, aber nicht den URL-Pfad, die Header, den Body oder die Cookies.
Was HTTP-Websites nicht können
Browser beschränken moderne APIs auf HTTPS-only („Secure Contexts”):
- Service Workers — Offline-Support, Push-Benachrichtigungen
- Geolocation API — GPS-Zugriff
- Kamera/Mikrofon —
getUserMedia() - Clipboard API — Zwischenablage lesen/schreiben
- Payment Request API — native Zahlungsformulare
- Web Bluetooth, Web USB — Hardware-Zugriff
- HTTP/2 — Multiplexing, Header-Komprimierung (Browser erfordern HTTPS)
Wenn Ihre Website eine davon nutzt, ist HTTPS Pflicht — nicht optional.
Der SEO-Unterschied
Google hat HTTPS als Ranking-Signal 2014 bestätigt. Das direkte Signal ist „leichtgewichtig” (ein Gleichstandsbrecher), aber die indirekten Auswirkungen sind erheblich:
- „Nicht sicher”-Warnung → höhere Absprungrate → geringeres Engagement → schlechtere Rankings
- Kein HTTP/2 → langsamere Seitenladezeit → schlechtere Core Web Vitals → schlechtere Rankings
- Chrome HTTPS-First (Okt. 2026) → ganzseitige Warnung → massiver Traffic-Verlust
„Aber HTTPS ist langsamer” — ein Mythos
HTTPS fügt einen Roundtrip für den TLS-Handshake hinzu (10–40 ms bei TLS 1.3). Aber HTTPS aktiviert HTTP/2, was Seiten schneller laden lässt durch:
- Multiplexing — mehrere Anfragen über eine Verbindung (HTTP/1.1: eine nach der anderen)
- Header-Komprimierung — reduziert den Overhead
- Sitzungswiederaufnahme — wiederkehrende Besucher überspringen den Handshake (0-RTT in TLS 1.3)
Nettoergebnis: HTTPS + HTTP/2 Websites laden typischerweise schneller als HTTP/1.1 Websites.
So wechseln Sie von HTTP zu HTTPS
- Kostenloses Zertifikat holen — GetHTTPS (5 Minuten, keine Installation)
- Auf Ihrem Server installieren — Nginx | Apache | cPanel | WordPress
- 301-Weiterleitungen einrichten — Weiterleitungsanleitung
- Mixed Content beheben — Mixed-Content-Anleitung
- Externe Dienste aktualisieren — Google Search Console, Analytics, Social-Media-Profile
Vollständige Migrations-Checkliste (15 Schritte) →
Häufig gestellte Fragen
Gibt es einen Grund, bei HTTP zu bleiben?
Nein. HTTPS ist kostenlos (Let’s Encrypt), dauert 5 Minuten zur Einrichtung, macht Ihre Website schneller (HTTP/2) und vermeidet die „Nicht sicher”-Warnung. Es gibt keinen Vorteil, bei HTTP zu bleiben.
Macht HTTPS meine Website vollständig sicher?
HTTPS sichert die Verbindung — es verhindert Abhören, Manipulation und Identitätsfälschung. Es schützt NICHT vor: Anwendungsschwachstellen (XSS, SQL Injection), serverseitigen Sicherheitsverletzungen, Phishing (verschlüsselt ≠ vertrauenswürdig) oder Malware auf dem Gerät des Nutzers.
Bieten kostenlose und kostenpflichtige Zertifikate dasselbe HTTPS?
Ja. Die Verschlüsselung ist identisch. Ein kostenloses DV-Zertifikat von Let’s Encrypt und ein 500-$-EV-Zertifikat verwenden dieselben TLS-Protokolle, Cipher Suites und denselben Schlüsselaustausch. Das Schloss-Symbol ist dasselbe.
Wird der Wechsel zu HTTPS irgendetwas kaputt machen?
Möglicherweise: Hartcodierte http://-Links in Ihrem Content verursachen Mixed-Content-Warnungen, und einige Drittanbieter-Einbettungen benötigen HTTPS-URLs. Die Migrationsanleitung behandelt jeden Sonderfall.