Der grüne Haken fehlt – mixed content bei SSL/HTTPS-Verschlüsselung

Wir bekommen immer wieder die Frage von unseren Kunden, warum die SSL-Verschlüsselung auf Ihren Webseiten nicht richtig funktioniert. Ein sehr ärgerliches Problem, denn: eine ordnungsgemäße SSL-Verschlüsselung ist mittlerweile ein Muss für jede Webseite! Einige Browser sind schon dazu übergegangen, den Zugang zu unverschlüsselten Inhalten (engl. content) entweder zu erschweren, oder gar nicht mehr zuzulassen.

Dabei sind in 99% der Fälle, die an uns herangetragen werden, gemischte Inhalte (engl. mixed content) der Fehler, der diverse Browser beim Aufrufen von Webseiten meckern lässt.

Was ist Mixed Content?

Mixed Content bezeichnet den Umstand, dass auf einer per HTTPS aufgerufenen Website Inhalte eingebunden sind, die über eine unverschlüsselte HTTP-Verbindung aufgerufen werden – ein Teil wird also über „http://..“ geladen, ein anderer Teil wird über „https://..“ aufgerufen.
Browser wie Chrome und Firefox zeigen eine Warnung an und laden gegebenenfalls die eingebundenen Inhalte nicht herunter. Das kann dazu führen, dass Deine Website nicht wie gewünscht dargestellt wird.

Entstehung von Mixed Content

Die Hauptgründe für das auftreten von Mixed Content sind:

  • falsche Webseitenumzüge d.h. von „http://..“ auf „https://..“ umgezogen
  • statische (hardcoded) Dateien/Medien die mit einer unverschlüsselten Verbindung im Quellcode eingebunden wurden: „http://deinewebsite.de/wasd.png“
  • Quellen von Dritten die keine SSL-Verschlüsselung verwenden: „http://irgendeinblog.de/video.mp4“

SSL-Fehlkonfigurationen erkennen

Bei IVRY sind wir Freunde von Online-Tools. Wir teilen gerne die Tools
mit Euch, die wir auch intern verwenden. In diesem Fall benutzen wir für einen ersten Überblick den SSL-Check von Jitbit: https://www.jitbit.com/sslcheck/

In Google Chrome kannst Du mit einem Klick auf das „i“ die Verbindung anzeigen lassen. Falls die Verbindung unsicher ist, zeigt Chrome die Meldung „Die Verbindung zu dieser Website ist nicht uneingeschränkt sicher“ an.

 

SSL-Fehlermeldung in Google Chrome

Da bei IVRY alle Websites vollautomatisch mit SSL/TLS (https) verschlüsselt werden, ist das Zertifikat im Regelfall gültig. Somit können wir zuverlässig Mixed Content erkennen. Um sicher zu gehen verwendet man am besten die „Entwicklertools“, die bei jedem gängigen Browser mitgeliefert werden. Diese aktiviert man in den meisten Fällen mit dem Hotkey „F12“.

In unserem Beispiel verwenden wir Google Chrome:

 

Bei den meisten Browsern integriert: Entwicklertools

Dieses Fenster rufst Du mit „F12“ auf, anschließend klickst Du auf „Security“. Dort zeigt dir Chrome direkt was mit der Verschlüsselung nicht passt.
Mit einem Klick auf „F5“ aktualisiert sich die Website und Chrome speichert alle Anfragen die über HTTP ausgeführt werden.

 

Häufiges Problem: Mixed Content

Mit einem Klick auf „View X request“ unter „Network“ listet Dir der Browser dann alle Dateien auf, die über „http://..“ geladen werden.

 

Fehlersuche: Auflisten aller Dateien, die über HTTP-übertragen werden

Auf dem Screenshot siehst Du beispielsweise eine Bilddatei mit der Endung
„.JPG “, die noch über eine unsichere Verbindung geladen wird.

Lösungsansätze für Mixed Content

Wo der Fehler zu suchen ist, kommt natürlich ganz darauf an wie Deine Website aufgebaut ist. Oft hilft es, die Datei aus dem von dir genutzten CMS zu entfernen und erneut hinzuzufügen. Unter WordPress ist es ebenfalls wichtig, dass in der Adminoberfläche (Einstellungen -> Allgemein -> „Wordpress-Adresse“ & „Website-Adresse“) Deine Seite mit „https://“ angegeben wird.
Wenn die Einstellung einmal richtig gesetzt wurde, werden alle zukünftigen Medien über HTTPS eingebunden. Falls Deine Webseite auf keinem CMS basiert kann man in PHPmyAdmin oder direkt im Quellcode die eingebundene Ressource auf „https://“ umschreiben.

Kommentar schreiben

Von den Profis lernen

Kennst du den Unterschied zwischen anderen Hostern und IVRY?
Kurze Antwort: Unsere Newsletter werden nicht von einer Marketingabteilung geschrieben, sondern von echten Profis.


Unsere Techniker - direkt aus unseren Fachbereichen - versorgen Dich mit News zu aktuellen & wichtigen Themen rund um IT.

P.S.: Hin und wieder packt unser Chef auch mal Rabattcoupons in die Newsletter! :)
Deine .E-Mail-Adresse
Dein Vorname
Kein Bullshit - Kein Spam - Keine Datenschleuder