en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Korrigieren Sie Warnungen vor Nicht-SSL-Elementen auf Ihrer Site

Warnungen vor gemischten Inhalten im Browser

Besucher von Websites, die durch SSL geschützt sind, erwarten (und verdienen) einen nahtlosen Schutz. Wenn eine Site nicht alle Inhalte vollständig schützt, zeigt ein Browser eine Warnung mit gemischten Inhalten an. Wenn Ihre Kunden diese Warnung sehen, können sie auf zwei Arten reagieren. Wenn sie nicht Nehmen Sie die Sicherheit ernst, sie werden sie ignorieren, sich durchklicken und davon ausgehen, dass alles in Ordnung ist (sehr schlecht). Wenn sie do Nehmen Sie die Sicherheit ernst, sie werden darauf achten, Ihre Website verlassen und davon ausgehen Nehmen Sie die Sicherheit nicht ernst (noch schlimmer).

Darüber hinaus blockieren alle modernen Browser die bösartigeren Arten von gemischten Inhalten - und können dadurch Ihre Website beschädigen.

Die beste Lösung besteht natürlich darin, sicherzustellen, dass diese Warnungen und / oder Blockierungen überhaupt nicht auftreten, indem Sie Ihre Site so konfigurieren, dass nur sichere Inhalte bereitgestellt werden.

Warum sehe ich diese Warnung?

Eine Warnung mit gemischtem Inhalt bedeutet, dass sowohl gesicherte als auch ungesicherte Elemente auf einer Seite bereitgestellt werden, die vollständig verschlüsselt sein sollte. Jede Seite, die eine HTTPS-Adresse verwendet, muss den gesamten Inhalt einer gesicherten Quelle enthalten. Jede Seite, die auf eine HTTP-Ressource verweist, wird als unsicher eingestuft und von Ihrem Browser als Sicherheitsrisiko gekennzeichnet.

Warnungen mit gemischtem Inhalt lassen sich in zwei Kategorien einteilen: gemischter passiver Inhalt . gemischter aktiver Inhalt.

Gemischter passiver Inhalt

Passiver Inhalt bezieht sich auf Elemente, die ersetzt oder geändert werden können, aber andere Teile der Seite nicht ändern können - beispielsweise eine Grafik oder ein Foto. Die wahrscheinlich häufigste Ursache für alle Warnungen vor gemischten Inhalten ist, wenn eine (theoretisch) sichere Site so konfiguriert ist, dass Bilder von einer ungesicherten Quelle abgerufen werden.

Passive HTTP-Anfragen werden über folgende Tags bedient:<audio>(src Attribut)
<img> (src Attribut)
<video> (src Attribut)
<object> Unterressourcen (wenn ein <object> führt HTTP-Anfragen durch)

Gemischter aktiver Inhalt

Aktiver Inhalt kann die Webseite selbst verändern. Ein Man-in-the-Middle-Angriff kann das Abfangen und / oder Umschreiben einer Anforderung von HTTP-Inhalten auf einer beliebigen HTTPS-Seite ermöglichen. Dies macht böswillige aktive Inhalte sehr gefährlich - Benutzeranmeldeinformationen und vertrauliche Daten können gestohlen oder Malware auf dem System des Benutzers installiert werden. Beispielsweise könnte ein bisschen JavaScript auf einer Seite zur Kontoerstellung, die Benutzern beim Generieren eines zufälligen Kennworts helfen soll, durch Code ersetzt werden, der stattdessen ein zufällig erscheinendes, aber vorgeneriertes Kennwort bereitstellt, oder ein ansonsten sicheres Kennwort heimlich an Dritte weitergeben .

Aktive gemischte Inhalte können genutzt werden, um vertrauliche private Daten zu gefährden, aber selbst öffentlich zugängliche Webseiten, die harmlos erscheinen, können Besucher auf gefährliche Websites umleiten, unerwünschte Inhalte liefern oder Cookies zur Nutzung stehlen.

Aktive HTTP-Anforderungen werden bereitgestellt über:<script> (src Attribut)
<link> (href Attribut) (dies schließt CSS-Stylesheets ein)
XMLHttpRequest Objektanforderungen
<iframe> (src Attribute)
Alle Fälle in CSS, in denen ein URL-Wert verwendet wird (@font-face, cursor, background-image, Usw.)
<object> (data Attribut)

Alle modernen Browser blockieren standardmäßig aktive gemischte Inhalte (wodurch eine falsch konfigurierte Site beschädigt werden kann).

Warum und wie Warnungen vor gemischten Inhalten behoben werden

Durch die Sicherung Ihrer Website können Ihre Besucher Ihnen vertrauen, was von entscheidender Bedeutung ist. Das Entfernen aller unsicheren Inhalte von Ihrer Site hat jedoch einen noch größeren Vorteil darin, falsch positive Warnungen zu eliminieren. Wenn Ihre korrekt konfigurierte Site kompromittiert wird, löst jedes unsichere Element, das ein Angreifer einfügt, die Warnung mit gemischten Inhalten aus, sodass Sie einen zusätzlichen Tripwire erkennen können und diese Probleme angehen.

Der beste Weg, um Probleme mit gemischten Inhalten zu vermeiden, besteht darin, alle Inhalte über HTTPS anstelle von HTTP bereitzustellen.

Stellen Sie für Ihre eigene Domain den gesamten Inhalt als HTTPS bereit und korrigieren Sie Ihre Links. Häufig ist die HTTPS-Version des Inhalts bereits vorhanden, und dies erfordert lediglich das Hinzufügen eines "s" zu Links. http:// zu https://.

Verwenden Sie für andere Domänen die HTTPS-Version der Site, falls verfügbar. Wenn HTTPS nicht verfügbar ist, können Sie versuchen, die Domain zu kontaktieren und sie zu fragen, ob sie den Inhalt über HTTPS verfügbar machen können.

Alternativ kann der Browser bei Verwendung von „relativen URLs“ automatisch HTTP oder HTTPS auswählen, je nachdem, welches Protokoll der Benutzer verwendet. Anstatt beispielsweise eine Verknüpfung zu einem Bild über eine Verknüpfung mit dem „absoluten Pfad“ von:

Die Site kann einen relativen Pfad verwenden:

Dadurch kann der Browser entweder automatisch hinzufügen http: or https: nach Bedarf an den Anfang der URL. (Beachten Sie, dass die verlinkte Site die Ressource sowohl über HTTP als auch über HTTPS anbieten muss, damit relative URLs funktionieren.)

Folgen Sie diesen Links, um weitere browserspezifische Informationen zu Warnungen mit gemischten Inhalten zu erhalten:
Chrom
Firefox
Internet Explorer
Hervorragende Tools zum Aufspüren von Nicht-SSL-Links in Ihrem Quellcode sind die in das Programm integrierten Entwicklertools Firefox . Chrom Browser. Informationen darüber, wie Sie einen Apache-Server zwingen, nur HTTPS zu verarbeiten, können finden Sie hier.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com