Sicher ist sicher
Vor gut einem Monat habe ich meine schnurpsel.de-Website auf https umgestellt. Für das Shared-Webhosting bietet Strato zu einem monatlichen Preis von 2,99 Euro ein einfaches Single-Domain-Zertifikat an, welches ich nun hier auch nutze.
Schnurpsel mit Strato-SSL
Sichtbarer Effekt ist das Schloß-Symbol in der Adressleiste, welches auf eine sichere Verbindung hinweist. Die Übertragung der Daten vom Browser des Nutzers zum Server und umgekehrt ist verschlüsselt. So weit, so gut.
Sicher ist langsamer
Ich habe durchaus erwartet, daß die Seiten etwas langsamer werden, denn die Verschlüsselung benötigt natürlich Rechenzeit. Die ersten Test der auf https umgestellten Domain bestätigten das auch. Die Seiten werden merklich langsamer geladen. Aber wie langsam ist nun dieses Langsam, wenn es sogar merkbar ist?
Hierzu habe ich einen Blick in die Google-Webmastertools geworfen. Dort kann man sich die Ladezeiten für die Seitenabrufe durch den Googlebot ansehen.
Google-Webmastertools: schnurpsel.de mit https
Vor der Umstellung lag die Ladezeit zwischen 0,5 und 1 Sekunde. Das ist sicher kein Spitzenwert, aber durchaus akzeptabel. Nach der Umstellung bewegt sich die Zeit im Bereich von 1,5 bis 2 Sekunden, eine merkliche Verschlechterung.
Die Zeitfresser
Die konkreten Ladezeiten habe ich mir in den Entwicklertools von Chrome angesehen. Die Timeline und die „Resource network timing“ gibt Aufschluß darüber, wie lange etwas beim Aufruf einer Seite dauert.
Da ich keine „Meßwerte“ für schnurpsel.de aus der Zeit vor der https-Umstellung besitze, habe ich die Werte für ein Testblog, auch bei Strato gehostet, als Vergleich herangezogen.
Strato ohne https
Die Timeline für schnurpsel.de sieht so aus:
Die Zeiten für „Blocking“ und „DNS Lookup“ haben nichts mit dem Webserver selbst zu tun und liegen im normalen Rahmen.
Interessant wird es dann beim „Connecting„, der Zeit für den Verbindungsaufbau mit dem Server auf der Netzwerkebene (TCP) und eben auch für die erste SSL-Aushandlung. Die Zeit hat sich von etwa 30 ms ohne SSL auf fast 300 ms mit SSL mal eben verzehnfacht.
Die „SSL„-Zeit gibt es ohne https natürlich nicht. Hier wird die verschlüsselte Verbindung mit dem Schlüsselaustausch, Prüfung des Zertifikates usw. abschließend ausgehandelt. Das schlägt noch einmal mit mindestens 250 ms zu Buche.
Die Zeit für das Senden („Sending“) kann man praktisch vernachlässigen, sie liegt immer im Bereich von wenigen Millisekunden.
Die Wartezeit („Waitung“) ist die Zeit die vergeht, bis nach dem Senden der Anforderung (Request) die Antwort (Response) beim Browser eintrifft. Für WordPress ist es die Zeit, die benötigt wird, um die Seite zu erstellen, also Laden von WordPress, der Plugins und des Themes, Datenbankabfragen, Erzeugen der Ausgabe usw. Die Zeit liegt bei der Schnurpsel-Seite höher als bei der Testseite, weil einfach viel mehr Daten zu verarbeiten sind. Die Testinstallation ist praktisch eine leere WP-Seite.
Zu guter Letzt müssen die Daten vom Server zum Browser übertragen werden, was der „Receiving“-Zeit entspricht. Auch hier dauert es bei Schnurpsel Erwartungsgemäß länger, weil mehr Daten zu übertragen sind.
Langsames SSL bei Strato
Die zusätzliche Zeit von 550 ms (300 ms + 250 ms) paßt ganz gut zu dem, was in den Webmastertools von Google angezeigt wird. Wobei das eher die Untergrenze darstellt, die Verlängerung der Ladezeit durch SSL kann auch höher ausfallen.
Srato mit https (700 ms)
Letztendlich stellt sich mir nun die Frage, was besser oder schlechter ist. Die deutlich merkbar längere Ladezeit spricht gegen https, das mehr an Sicherheit, verbunden mit größerem Vertrauen und „Professionalität“, aber dafür.
Ich werde bei https bleiben und hoffe einfach, daß Strato da irgendwie noch was an der Geschwindigkeit verbesserm kann. Bei anderen Sachen haben sie es ja früher oder stäter auch geschafft. :-)
Moin Ingo!
Interessante Insights! Hast du parallel auch mal einen Blick auf deine Rankings geworfen und beobachtet, ob sich dort schon etwas getan hat? Bzw. magst du dazu viellеiсht noch ein wenig Infos geben? Würde mich interessieren, wie Google & Co. deine Seiten nach der https Umstellung bewerten ;-)
Besten Dank und viele Grüße
Jean-Luc
Ja, den SEO-Aspekt hätte ich auch beleuchtet, wenn ich brauchbare Zahlen hätte. Ich bin einfach mit zu wenig relevanten Keywords in der Suche vertreten.
Wenn sich zum Beispiel der SEOlytics SVR von 0,004 auf 0,005 geändert hat, sagt das gar nichts aus, denn es liegt bei der Größenordnung im Bereich der „Meßungenauigkeit“ bzw. wird vom Grundrauschen verursacht.
Die Google-Webmastertools sind da möglicherweise etwas aussagekräftiger.
Ich habe mir mal die Impressions und Klicks für alle Suchanfragen mit ’strato‘ für 30 Tage vor und nach der Umstellung angesehen:
vorher: 1910 Impressions, 42 Klicks
nachher: 1889 Impressions, 41 Klicks
Die Top-Suchanfrage ’strato wordpress‘ lag vorher durchschnittlich auf Platz 8,8 und nachher auf Platz 7,5.
Ich würde sagen, keine signifikanten Änderungen.
Da es sich bei deiner Seite nicht um einen Online-Shop handelt, würde ich persönlich schnellere Ladezeiten vorziehen. Generell würde ich https nur dort implementieren wo es sein muss.
Schlechte Ladezeiten sind für Nutzer sehr frustrierend. Gibt ja relativ eindeutige Zahlen von Google und Amazon, welche extremen Auswirkungen eine schlechte Ladezeit auf ihren Umsatz haben würde.
https bei einem Blog. Wozu?
Mit besten Grüßen aus Graz,
Christoph
Wenn man nun Schnurpsel.de durch den SSL-Test von http://www.ssllabs.com jagt, sieht aber leider sofort, dass die SSL-Implementierung bei Strato nicht zufriedenstellend ist. Verschiedene ältere Browser und SuMa-Bots werden vom genutzten Cipher-Suite Set nicht unterstützt. Dürfte insb. bei Seiten ärgerlich sein, die bei Bing&Co gut gelistet sind. Und die Connectzeiten sehen, wie oben bereits beschrieben, auch nicht berauschend aus.
Die Probleme mit den älteren Browsern und einigen Bots kommen aber durch deren fehlende SNI-Unterstützung zustande. Das hatte ich in meinem vorhergehenden Artikel bereits erwähnt.
Ohne SNI läßt sich aber SSL in Shared-Webhostingumgebungen überhaupt nicht umsetzen. Insofern ist das technisch bedingt und man kann es Strato nicht direkt als Mangel vorwerfen.
Hi Schnurpsel,
hatte später auch gesehen, dass Strato auf SNI setzt und dadurch die älteren Browser ausgesperrt werden (und zwar komplett). Allerdings ist es nicht richtig, dass Strato hier keine anderen Möglichkeiten hätte. Würde jedem Shared-Hosting-Paket, welches SSL einsetzen will und nach den Ripe-Richtlinien den Einsatz begründen kann, eine eigene Ipv4 Adresse zugeordnet werden, wäre SSL auch ohne SNI einsetzbar. Viele andere Hoster verfahren so. D.h. wohl: für Blogs etc., die SSL einsetzen wollen (wie hier), mag die Strato-Variante in Ordnung sein, für Shops etc. würde ich es nicht empfehlen und stattdessen auf andere Anbieter und einen eigenen Managed Server (meinetwegen auch von Strato) setzen.
Naja, überall wird ja immer über die knapp werdenden IPv4-Adressen gejammert. Insofern muß man Strato ob der IP-Adressen-Sparsamkeit eher Lob zollen. :-)
Ja ich weiß, manche Hoster machen das anders, die haben vermutlich noch eine größere Reserve an IPv4-Adressen.
1&1 bewirbt das sogar in der Beschreibung der Webhostingpakete, daß man bei Aktivierung eines SSL-Zertifikates eine dedizierte IP-Adresse bekommt.
Andere Webhoster bieten einfach gar kein SSL-Zertifikat an und man kann bestenfalls einen SSL-Proxy nutzen.
Aber ich gebe Dir recht, bei wirklich wichtigen Seiten wie Shops sollte man ältere Browser und Bots nicht einfach ausschließen. Es wäre gut, wenn Strato vor der Bestellung des SSL-Zertifikates deutlich auf die möglichen Probleme hinweisen würde.
hmm… habe gelesen , dass Google jetzt websiten mit https mehr wert gibt als ohne , und wenn https die seite noch langsamer macht, dann ist es gar nicht cool, oder liegt das problem nur bei strato … ?
Interessanter Artikel. Werde auch auf https umstellen, finde die Ladezeit ist dabei immer noch vertretbar.
Habe vieles lernen können hier. Wusste auch vieles nicht. Danke für den tollen Post.
Ja der Pagespeed ist aufjedenfall wichtig, da ist es eben das eigene Entscheidungsrisiko natürlich für was man sich entѕсhеidеt. Kann man so auch nicht pauschalisieren. Kommt natürlich auf die Branche an.
Aber super Artikel. Danke dafür :-)
[…] An sich bremst die höhere Sicherheit durch die aufwändigere SSL-Kommunikation eine Webseite aus. Es gibt allerdings das neue Protokoll HTTP/2, das die Auslieferung von Webseiten deutlich […]