en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

HTTPS Everywhere: Entfernen Sie gemischte Inhalte, um die Suchmaschinenoptimierung zu verbessern

Einführung

In den letzten Jahren haben wir festgestellt, dass das Web und die verschiedenen Branchen, die es antreiben (z. B. Browser, Suchmaschinen usw.), die Sicherheit der Benutzer zunehmend ernst nehmen. Chrome ist jetzt Benutzer vor HTTP-Websites warnen Weitere Browser sind bereit zu folgen, während die Google-Suche bestätigt hat, dass sie das Ranking von Suchmaschinen verbessern HTTPS Websites.

Entwicklungen wie diese haben einen erheblichen Teil der Websitebesitzer dazu motiviert, ihre Server von altem, unsicherem HTTP auf das sicherere alternative HTTPS umzustellen. (HTTPS wird als sicherer angesehen, da Server über SSL-Zertifikate authentifiziert werden müssen, um Benutzer vor den meisten Arten von Netzwerkangriffen zu schützen.)

Die meisten Websites haben jedoch nur HTTPS für ihre wichtigsten Komponenten wie Anmelde- oder POST-Anforderungen implementiert, verwenden jedoch möglicherweise HTTP für andere „nicht kritische“ Funktionen.

Dies war in den frühen Tagen von HTTPS sinnvoll, da verschlüsselte Verbindungen aufgrund ihrer Leistung rechenintensiver sind Handshakes für jede neue Verbindung. Darüber hinaus waren zu dieser Zeit viele weit verbreitete Webentwicklungsplattformen, Bibliotheken und Umgebungen nicht HTTPS-fähig - eine Tatsache, die Administratoren und Entwicklern endlose Kopfschmerzen in Form von nächtlichen Anwendungsabstürzen oder undurchsichtigen Laufzeitfehlern verursachte.

Natürlich ist dies nicht mehr wahr - in der Tat, wie dieser Artikel argumentieren wird, nicht mit HTTPS für Alle Die Verbindungen Ihrer Website sind tatsächlich schlecht für Ihr Unternehmen.

 

Gemischter Inhalt

Websites, die nicht alle Inhalte über HTTPS bereitstellen, werden aufgerufen gemischter Inhalt Websites. Ein Akademiker Krepppapier Die im Jahr 2015 veröffentlichte Studie ergab, dass über 43% ihrer Stichprobe der Top 100,000 von Alexa mindestens eine Art gemischten Inhalts enthielten.

Obwohl dies keine große Sache ist, können gemischte Inhalte für Benutzer sehr gefährlich sein, aber auch negative Auswirkungen auf Websites haben.

Sicherheitsfragen

Der wichtigste Grund für die Verwendung von HTTPS für Ihre gesamte Website ist die Sicherheit. Eine einzige ungeschützte HTTP-Verbindung ist alles, was Hacker benötigen. Man-in-the-Middle-Angreifer (MITM) Sie können alle HTTP-Inhalte auf Ihrer Seite ersetzen, um Anmeldeinformationen und Sitzungen zu stehlen, vertrauliche Daten zu erfassen oder Browser-Exploits zu starten und Malware auf den Computern Ihrer Besucher zu installieren.

Wenn Sie von Ihrer Website kompromittiert werden, werden Ihre Benutzer natürlich misstrauen und es in Zukunft vermeiden, was Ihren Online-Ruf effektiv schädigt.

Sowohl Firefox als auch Chrome habe angefangen Standardmäßig werden gemischte Inhalte blockiert, sodass Benutzer manuell festlegen können, ob Inhalte über HTTP geladen werden sollen. Da gemischte Inhalte ein Sicherheitsrisiko darstellen, zeigen beide Browser den Benutzern eine Warnung zu gemischten Inhalten an, die sich auch negativ auf die Reputation Ihrer Website auswirken kann.

 

Firefox-Warnung zu gemischten Inhalten

Performance-Probleme

Neben der Sicherheit nimmt die zunehmende Akzeptanz von HTTP / 2 von der Industrie hat zahlreiche Leistungs- und Sicherheitsverbesserungen ins Web gebracht.

Obwohl die Leistungssteigerung seit HTTP / 2 kontraintuitiv erscheint funktioniert nur Über verschlüsselte HTTPS-Verbindungen ermöglicht das Protokoll Browsern, eine einzige verschlüsselte Verbindung mit einem HTTPS-Webserver für die gesamte Kommunikation zu verwenden.

Durch die Wiederverwendung derselben Verbindung wird der Overhead beseitigt, der durch wiederholtes Einrichten neuer Verbindungen (dh erneuter Handshake) entsteht. Dies bedeutet, dass das Wechseln von verschlüsselten HTTPS-Verbindungen zu unverschlüsseltem HTTP auf einer Site mit gemischtem Inhalt langsamer und ressourcenintensiver ist als der Besuch einer vollständig geschützten Site mit einer einzigen HTTPS-Verbindung.

HTTP / 2 implementiert auch das 0-RTT Modus zur Wiederaufnahme der Sitzung, in dem Browser eine angehaltene Sitzung mit einer zuvor besuchten HTTPS-Website mit nur einer einzigen Anforderung (anstelle eines vollständigen Handshakes) fortsetzen können. Dadurch ist die HTTP / 2-Wiederaufnahme mindestens so schnell wie eine unverschlüsselte HTTP-Verbindung und bietet dennoch alle Vorteile von HTTPS. Das Bereitstellen gemischter Inhalte bedeutet, dass Ihre Website diese oder eine der anderen großartigen Funktionen von HTTP / 2 nicht in vollem Umfang nutzen kann.

In beiden Fällen verbessert HTTP / 2 die Geschwindigkeit der Verbindung Ihres Besuchers zu Ihrer Site - und die Geschwindigkeit ist wichtig. studien haben im Laufe der Jahre gezeigt, dass Reaktionsfähigkeit und Seitenladegeschwindigkeit wichtige Anforderungen an das Design der Benutzeroberfläche sind. Je langsamer die Antwortzeit einer Website ist, desto unwahrscheinlicher ist es, dass Benutzer engagiert bleiben, und die Benutzerinteraktion wirkt sich direkt auf die Benutzererfahrung Ihrer Website (und folglich auf Ihre Conversion-Raten) aus.

Gemischte Inhalte können sich auch auf die Leistung der zugrunde liegenden Webtechnologien auswirken, die auf Ihrer Website verwendet werden. Browser jetzt Beschränken Sie die Javascript-Funktionen B. Service-Mitarbeiter und Push-Benachrichtigungen, um nur Kontexte zu sichern, da sie andernfalls von Hackern für böswillige Zwecke missbraucht werden könnten. Dies bedeutet wiederum, dass Ihre Website keine dieser Technologien nutzen kann, wenn gemischte Inhalte bereitgestellt werden.

SEO Probleme

Suchmaschinen-Optimierung (SEO) ist das A und O von Online-Business-Vermarktern. SEO bezieht sich auf die Praxis der Verbesserung des Rankings einer Website in einem Suchmaschinen-Ergebnisseite (SERP), der sich direkt auf das Verkehrsaufkommen der Website auswirkt.

Google hat bestätigt, dass der Algorithmus für das Ranking von Suchergebnissen Websites, die über HTTPS bereitgestellt werden, einen kleinen Rangzuwachs verleiht. Da der Boost in Echtzeit und pro URL erfolgt, führt die Bereitstellung einer Website in ihrer Gesamtheit über HTTPS zu einem SEO-Boost für die gesamte Website (anstelle nur der URLs, die über HTTPS bereitgestellt werden). Zugegeben, dieser Ranking-Signal-Boost ist im Vergleich zu anderen wie qualitativ hochwertigen Inhalten oder Benutzerdatenverkehr recht leicht und belohnt Ihre Investition in das Entfernen gemischter Inhalte.

Google hat auch vor kurzem angekündigt Diese Seitenladegeschwindigkeit und die allgemeine Website-Leistung werden bei der Entscheidung über das Ranking (stark) berücksichtigt. Dies bedeutet, dass die Leistungsoptimierungen von HTTP / 2 und das Entfernen gemischter Inhalte zusammenarbeiten können, um die Sichtbarkeit Ihrer Website im Web zu verbessern.

Wenn Sie SSL in der SEO Ihrer Website voll ausnutzen möchten, sollten Sie dies in Betracht ziehen EV-Zertifikate von SSL.com, die Ihren Besuchern über Sicherheitsindikatoren (wie den grünen Balken im Browser) die höchste Sicherheit bieten, damit sie sicher sind und sich mit Ihren Inhalten beschäftigen - und längere Besuche bedeuten höhere Platzierungen.

Warnungen vor gemischten Inhalten im Browser

Besucher von Websites, die durch SSL geschützt sind, erwarten (und verdienen) einen nahtlosen Schutz. Wenn eine Site nicht alle Inhalte vollständig schützt, zeigt ein Browser eine Warnung mit gemischten Inhalten an. Wenn Ihre Kunden diese Warnung sehen, können sie auf zwei Arten reagieren. Wenn sie nicht Nehmen Sie die Sicherheit ernst, sie werden sie ignorieren, sich durchklicken und davon ausgehen, dass alles in Ordnung ist (sehr schlecht). Wenn sie do Nehmen Sie die Sicherheit ernst, sie werden darauf achten, Ihre Website verlassen und davon ausgehen Nehmen Sie die Sicherheit nicht ernst (noch schlimmer).

Darüber hinaus blockieren alle modernen Browser die bösartigeren Arten von gemischten Inhalten - und können dadurch Ihre Website beschädigen.

Die beste Lösung besteht natürlich darin, sicherzustellen, dass diese Warnungen und / oder Blockierungen überhaupt nicht auftreten, indem Sie Ihre Site so konfigurieren, dass nur sichere Inhalte bereitgestellt werden.

Warum sehe ich diese Warnung?

Eine Warnung mit gemischtem Inhalt bedeutet, dass sowohl gesicherte als auch ungesicherte Elemente auf einer Seite bereitgestellt werden, die vollständig verschlüsselt sein sollte. Jede Seite, die eine HTTPS-Adresse verwendet, muss den gesamten Inhalt einer gesicherten Quelle enthalten. Jede Seite, die auf eine HTTP-Ressource verweist, wird als unsicher eingestuft und von Ihrem Browser als Sicherheitsrisiko gekennzeichnet.

Warnungen mit gemischtem Inhalt lassen sich in zwei Kategorien einteilen: gemischter passiver Inhalt und gemischter aktiver Inhalt.

Gemischter passiver Inhalt

Passiver Inhalt bezieht sich auf Elemente, die ersetzt oder geändert werden können, aber andere Teile der Seite nicht ändern können - beispielsweise eine Grafik oder ein Foto. Die wahrscheinlich häufigste Ursache für alle Warnungen vor gemischten Inhalten ist, wenn eine (theoretisch) sichere Site so konfiguriert ist, dass Bilder von einer ungesicherten Quelle abgerufen werden.

Passive HTTP-Anfragen werden über folgende Tags bedient:<audio>(src Attribut)
<img> (src Attribut)
<video> (src Attribut)
<object> Unterressourcen (wenn ein <object> führt HTTP-Anfragen durch)

Gemischter aktiver Inhalt

Aktiver Inhalt kann die Webseite selbst verändern. Ein Man-in-the-Middle-Angriff kann das Abfangen und / oder Umschreiben einer Anforderung von HTTP-Inhalten auf einer beliebigen HTTPS-Seite ermöglichen. Dies macht böswillige aktive Inhalte sehr gefährlich - Benutzeranmeldeinformationen und vertrauliche Daten können gestohlen oder Malware auf dem System des Benutzers installiert werden. Beispielsweise könnte ein bisschen JavaScript auf einer Seite zur Kontoerstellung, die Benutzern beim Generieren eines zufälligen Kennworts helfen soll, durch Code ersetzt werden, der stattdessen ein zufällig erscheinendes, aber vorgeneriertes Kennwort bereitstellt, oder ein ansonsten sicheres Kennwort heimlich an Dritte weitergeben .

Aktive gemischte Inhalte können genutzt werden, um vertrauliche private Daten zu gefährden, aber selbst öffentlich zugängliche Webseiten, die harmlos erscheinen, können Besucher auf gefährliche Websites umleiten, unerwünschte Inhalte liefern oder Cookies zur Nutzung stehlen.

Aktive HTTP-Anforderungen werden bereitgestellt über:<script> (src Attribut)
<link> (href Attribut) (dies schließt CSS-Stylesheets ein)
XMLHttpRequest Objektanforderungen
<iframe> (src Attribute)
Alle Fälle in CSS, in denen ein URL-Wert verwendet wird (@font-face, cursor, background-image, Usw.)
<object> (data Attribut)

Alle modernen Browser blockieren standardmäßig aktive gemischte Inhalte (wodurch eine falsch konfigurierte Site beschädigt werden kann).

Warum und wie Warnungen vor gemischten Inhalten behoben werden

Durch die Sicherung Ihrer Website können Ihre Besucher Ihnen vertrauen, was von entscheidender Bedeutung ist. Das Entfernen aller unsicheren Inhalte von Ihrer Site hat jedoch einen noch größeren Vorteil darin, falsch positive Warnungen zu eliminieren. Wenn Ihre korrekt konfigurierte Site kompromittiert wird, löst jedes unsichere Element, das ein Angreifer einfügt, die Warnung mit gemischten Inhalten aus, sodass Sie einen zusätzlichen Tripwire erkennen können und diese Probleme angehen.

Der beste Weg, um Probleme mit gemischten Inhalten zu vermeiden, besteht darin, alle Inhalte über HTTPS anstelle von HTTP bereitzustellen.

Stellen Sie für Ihre eigene Domain den gesamten Inhalt als HTTPS bereit und korrigieren Sie Ihre Links. Häufig ist die HTTPS-Version des Inhalts bereits vorhanden, und dies erfordert lediglich das Hinzufügen eines "s" zu Links. http:// zu https://.

Verwenden Sie für andere Domänen die HTTPS-Version der Site, falls verfügbar. Wenn HTTPS nicht verfügbar ist, können Sie versuchen, die Domain zu kontaktieren und sie zu fragen, ob sie den Inhalt über HTTPS verfügbar machen können.

Alternativ kann der Browser bei Verwendung von „relativen URLs“ automatisch HTTP oder HTTPS auswählen, je nachdem, welches Protokoll der Benutzer verwendet. Anstatt beispielsweise eine Verknüpfung zu einem Bild über eine Verknüpfung mit dem „absoluten Pfad“ von:

Die Site kann einen relativen Pfad verwenden:

Dadurch kann der Browser entweder automatisch hinzufügen http: or https: nach Bedarf an den Anfang der URL. (Beachten Sie, dass die verlinkte Site die Ressource sowohl über HTTP als auch über HTTPS anbieten muss, damit relative URLs funktionieren.)

Folgen Sie diesen Links, um weitere browserspezifische Informationen zu Warnungen mit gemischten Inhalten zu erhalten:
Chrom
Firefox
Internet Explorer
Hervorragende Tools zum Aufspüren von Nicht-SSL-Links in Ihrem Quellcode sind die in das Programm integrierten Entwicklertools Firefox und Chrom Browser. Informationen darüber, wie Sie einen Apache-Server zwingen, nur HTTPS zu verarbeiten, können finden Sie hier.

Das erste Anforderungsproblem

Wir hoffen, dass dieser Artikel bis zu diesem Punkt einige gute Argumente gegen gemischte Inhalte vorgebracht hat. Auch wenn Sie sich entscheiden, Ihre Website vollständig auf HTTPS zu migrieren, können Sie dennoch einige Verbesserungen vornehmen.

Wenn Benutzer die URL Ihrer Website in einem Browser eingeben, geben sie den Protokollnamen normalerweise nie vollständig ein (d. H. https://). Natürlich weiß der Browser nicht, unter welchem ​​Protokoll Ihre Website bereitgestellt wird, und verwendet standardmäßig HTTP.

Wenn Ihre Website korrekt konfiguriert ist, leitet sie den Browser (über HTTP 301/302-Antworten) zu ihrer HTTPS-Instanz um. Dies bedeutet jedoch, dass Browser beim ersten Besuch Ihrer Website zwei Anforderungen anstelle einer einzelnen HTTPS-Anforderung ausführen müssen.

Dies kann problematisch sein, da Benutzer die Verzögerung wahrnehmen und einen schlechten ersten Eindruck von der Website erhalten können. Daher ist es weniger wahrscheinlich, dass sie in der Nähe bleiben, was letztendlich zu einem verringerten Besucherverkehr führen kann.

Darüber hinaus können Hacker diese erste HTTP-Anforderung abfangen, um sie zu lesen oder zu ändern, bevor sie den Server erreichen. Ein häufiges Ereignis für diese Art von Fällen ist die Durchführung eines Netzwerkangriffs namens SSL-Stripping Dadurch kann der Angreifer eine HTTPS-Verbindung durch eine ungeschützte HTTP-Verbindung ersetzen.

HTTP Strict Transport Security zur Rettung

HTTP Strict-Transportsicherheit or HSTS ist ein Versuch, dieses Problem zu lösen. HSTS wurde von der Internet Engineering Task Force (IETF) in RFC 6797 implementiert und ist ein HTTPS-Header, den Webserver in ihre Antworten aufnehmen können. Dieser Header weist kompatible Browser an, beim Besuch einer Website immer HTTPS zu verwenden. HSTS gilt für alle Anforderungen, einschließlich Bilder, CSS-Stylesheets und anderer Webressourcen.

Wie Sie sich vorstellen können, muss der Browser zuerst sehen den HSTS-Header, um ihn zu berücksichtigen, was bedeutet, dass HSTS darauf angewiesen ist, dass die Angreifer diese erste HTTP-Anforderung nicht abfangen können. Daher ist HSTS an sich keine vollständige Lösung, sondern eine einfache Problemumgehung für das Entfernen von SSL.

HSTS-Vorladung

Glücklicherweise hat das Chromium-Projekt eine von ihnen genannte Lösung gefunden HSTS-VorladungDies besteht darin, eine öffentliche Liste von Websites zu führen, für die HSTS-Vorladefunktionen angefordert wurden. Beim Besuch einer Website konsultieren Chromium-Browser die Liste. Wenn die Site dort gefunden wird, kommunizieren sie unabhängig von der vorherigen Historie oder Benutzereingabe über HTTPS (einschließlich dieser ersten Anforderung) mit ihr.

Infolgedessen kann das Vorladen sowohl die Leistung als auch die Sicherheit Ihrer Website verbessern, indem die anfängliche HTTP-Anforderung entfernt wird. Darüber hinaus kann es indirekt das SERP-Ranking und die Benutzererfahrung Ihrer Website verbessern.

Alle gängigen Browser (Google Chrome, Microsoft IE / Edge, Apple Safari, Mozilla Firefox und Opera) konsultieren auch die HSTS-Vorladeliste von Chromium. Wenn Sie dieser Liste beitreten, erhalten Ihre Besucher die Vorteile des Vorladens, unabhängig davon, welchen Browser sie verwenden.

Wir wären jedoch nicht in der Lage, wenn wir nicht erwähnen würden, dass Bedenken hinsichtlich der Skalierbarkeit der HSTS-Preload-Listenlösung bestehen. Aufgrund der praktischen Größe und der Einschränkungen der Rechenkomplexität können nicht alle Websites im Internet eingeschlossen werden, sodass die Eingabe möglicherweise immer schwieriger wird Mit der Zeit wird das HSTS-Vorladen breiter angewendet.

Wie kann ich mitmachen?

Wenn Sie an der HSTS-Preload-Liste teilnehmen möchten, beachten Sie bitte, dass Ihre Website bestimmten Regeln entsprechen muss. Das Chromium-Projekt hat die Liste der Einreichungsanforderungen für Websites veröffentlicht, die an der Website ihres Projekts teilnehmen möchten. Die Anforderungen sind wörtlich in der folgenden Liste enthalten, weitere Details finden Sie jedoch in HSTS RFC 6797.

Um in die HSTS-Preload-Liste aufgenommen zu werden, muss Ihre Website:

  1. Stellen Sie ein gültiges Zertifikat bereit.
  2. Leiten Sie von HTTP zu HTTPS auf demselben Host um, wenn Sie Port 80 abhören.
  3. Stellen Sie alle Subdomains über HTTPS bereit. Insbesondere müssen Sie HTTPS für das unterstützen www Subdomain, wenn ein DNS-Eintrag für diese Subdomain vorhanden ist.
  4. Stellen Sie einen RFC 6797-kompatiblen HSTS-Header in der Basisdomäne für HTTPS-Anforderungen bereit:
    • Der max-age muss mindestens 31536000 Sekunden (1 Jahr) betragen.
    • Der includeSubDomains Direktive muss angegeben werden.
    • Der preload Direktive muss angegeben werden.
  5. Wenn Sie eine zusätzliche Weiterleitung von Ihrer HTTPS-Site bereitstellen, muss diese Umleitung erfolgen ebenfalls über einen kompatiblen HSTS-Header verfügen (ebenso wie die Seite, auf die umgeleitet wird).

Hier ist ein Beispiel für einen gültigen HSTS-Header.

Strikte Transportsicherheit: maximales Alter = 63072000; includeSubDomains; Vorspannung

Sie können Ihre Website auf ihre Eignung testen, indem Sie die Website der Preload-Liste besuchen und Ihre Domain in das Eingabefeld eingeben. Die dortige Webanwendung zeigt auf, welche Probleme (falls vorhanden) Sie beheben müssen.

HSTS-Preload-Berechtigungstool

Leider erlaubt die Komplexität moderner Websites nicht, eine einheitliche Serverkonfiguration für das HSTS-Vorladen zu erstellen, die in diesen Artikel aufgenommen werden soll. Es kann Laufzeitprobleme mit Drittanbieter- oder anderen benutzerdefinierten Komponenten geben, die individuell behoben werden müssen.

Obwohl das Chromium-Projekt einige Bereitstellungsempfehlungen in die Preload-Website aufgenommen hat, helfen wir unseren Kunden immer gerne dabei, ihre Kommunikationssicherheit zu verbessern. Schreiben Sie uns einfach eine E-Mail an support@ssl.com Ein Experte bespricht gerne den besten Weg für Ihre Sicherheitsanforderungen.

Fazit

HTTPS wird zum Standardprotokoll für die Webkommunikation, und eine vollständige Verpflichtung kann sich nur positiv auf Websitebesitzer und Besucher auswirken. Wir empfehlen, gemischte Inhalte von Ihren Websites zu entfernen, um unnötige Probleme (und unglückliche Benutzer) zu vermeiden.

Wie immer vielen Dank für Ihre Wahl SSL.com, wo wir glauben, dass ein sichereres Internet ein besseres Internet ist.

Update (7. Oktober 2019):  Am 3. Oktober 2019 wurde der Chromium-Blog veröffentlicht angekündigt das wird Chrome sein Sperrung Alle gemischten Inhalte, einschließlich Bilder, Audio und Video, in einer Reihe von Schritten, beginnend mit Chrome 79 (Dezember 2019) und fortlaufend über Chrome 81 Anfang 2020. Dieser Schritt von Google bedeutet, dass es wichtiger denn je ist, gemischte Inhalte aus zu entfernen deine Website.

SSL.com Codesignatur Zertifikate sind eine kostengünstige Möglichkeit, Ihren Code vor unbefugten Manipulationen und Kompromissen zu schützen. Sie sind für nur wenig Geld erhältlich $ 64.50 pro Jahr.

BESTELLEN SIE JETZT!

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com