en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Waarschuwingen voor niet-SSL-elementen op uw site corrigeren

Browser Mixed-Content-waarschuwingen

Bezoekers van sites die worden beschermd door SSL verwachten (en verdienen) naadloze bescherming. Wanneer een site niet alle inhoud volledig beschermt, geeft een browser een waarschuwing "gemengde inhoud" weer. Wanneer uw klanten deze waarschuwing zien, kunnen ze op twee manieren reageren. Als zij niet neem de beveiliging serieus, ze zullen het negeren, doorklikken en aannemen dat alles in orde is (erg slecht). Als zij do neem beveiliging serieus, ze zullen er aandacht aan schenken, terug naar uw site en gaan ervan uit dat u neem beveiliging niet serieus (erger nog).

Bovendien blokkeren alle moderne browsers de meer kwaadaardige soorten gemengde inhoud - en daardoor kan uw site kapot gaan.

De beste oplossing is natuurlijk om ervoor te zorgen dat deze waarschuwingen en / of blokkades in de eerste plaats niet voorkomen door uw site correct te configureren om alleen beveiligde inhoud weer te geven.

Waarom zie ik deze waarschuwing?

Een waarschuwing voor gemengde inhoud betekent dat zowel beveiligde als onbeveiligde elementen worden weergegeven op een pagina die volledig moet worden versleuteld. Elke pagina die een HTTPS-adres gebruikt, moet alle inhoud hebben die afkomstig is van een beveiligde bron. Elke pagina die naar een HTTP-bron linkt, wordt als onveilig beschouwd en wordt door uw browser gemarkeerd als een beveiligingsrisico.

Waarschuwingen voor gemengde inhoud vallen in twee categorieën: gemengde passieve inhoud als gemengde actieve inhoud.

Gemengde passieve inhoud

Passieve inhoud verwijst naar items die kunnen worden vervangen of gewijzigd, maar die andere delen van de pagina niet kunnen veranderen, bijvoorbeeld een afbeelding of foto. Waarschijnlijk de meest voorkomende oorzaak van alle waarschuwingen voor gemengde inhoud is wanneer een (theoretisch) beveiligde site is geconfigureerd om afbeeldingen van een onbeveiligde bron op te halen.

Passieve HTTP-verzoeken worden via deze tags weergegeven:<audio>(src attribuut)
<img> (src attribuut)
<video> (src attribuut)
<object> subbronnen (wanneer een <object> voert HTTP-verzoeken uit)

Gemengde actieve inhoud

Actieve inhoud kan de webpagina zelf wijzigen. Bij een man-in-the-middle-aanval kan een verzoek om HTTP-inhoud op een HTTPS-pagina worden onderschept en / of herschreven. Dit maakt kwaadaardige actieve inhoud erg gevaarlijk - gebruikersreferenties en gevoelige gegevens kunnen worden gestolen of malware kan op het systeem van de gebruiker worden geïnstalleerd. Een stukje JavaScript op een pagina voor het aanmaken van een account, ontworpen om gebruikers te helpen bij het genereren van een willekeurig wachtwoord, kan bijvoorbeeld worden vervangen door code die in plaats daarvan een willekeurig lijkt, maar vooraf gegenereerd, of om in het geheim een ​​anderszins veilig wachtwoord aan een derde partij te bezorgen. .

Actieve gemengde inhoud kan worden misbruikt om gevoelige privégegevens in gevaar te brengen, maar zelfs publiek gerichte webpagina's die onschuldig lijken, kunnen bezoekers nog steeds omleiden naar gevaarlijke sites, ongewenste inhoud leveren of cookies stelen voor misbruik.

Actieve HTTP-verzoeken worden geserveerd via:<script> (src attribuut)
<link> (href attribuut) (dit omvat CSS-stylesheets)
XMLHttpRequest object verzoeken
<iframe> (src attributen)
Alle gevallen in CSS waar een url-waarde wordt gebruikt (@font-face, cursor, background-imageEnz.).
<object> (data attribuut)

Alle moderne browsers blokkeren standaard actieve gemengde inhoud (wat een onjuist geconfigureerde site kan breken)

Waarom en hoe u waarschuwingen voor gemengde inhoud kunt oplossen

Door uw website te beveiligen, kunnen uw bezoekers u vertrouwen, wat van vitaal belang is. Het verwijderen van alle onveilige inhoud van uw site heeft echter een nog grotere bonus door het elimineren van vals-positieve waarschuwingen - als uw correct geconfigureerde site wordt aangetast, zal elk onveilig element dat een aanvaller invoegt, de waarschuwing voor gemengde inhoud activeren, waardoor u een extra struikelblok krijgt om te detecteren en deze problemen aanpakken.

Nogmaals, de beste manier om problemen met gemengde inhoud te voorkomen, is door alle inhoud via HTTPS weer te geven in plaats van HTTP.

Serveer voor uw eigen domein alle inhoud als HTTPS en repareer uw links. Vaak bestaat de HTTPS-versie van de inhoud al en hiervoor hoeft u alleen een 's' aan links toe te voegen - http:// naar https://.

Gebruik voor andere domeinen de HTTPS-versie van de site, indien beschikbaar. Als HTTPS niet beschikbaar is, kunt u proberen contact op te nemen met het domein en hen te vragen of ze de inhoud beschikbaar kunnen maken via HTTPS.

Als alternatief laat het gebruik van "relatieve URL's" de browser automatisch HTTP of HTTPS kiezen, afhankelijk van het protocol dat de gebruiker gebruikt. Bijvoorbeeld, in plaats van te linken naar een afbeelding met behulp van een link met het 'absolute pad' van:

De site kan een relatief pad gebruiken:

Hierdoor kan de browser automatisch een van beide toevoegen http: or https: naar het begin van de URL indien nodig. (Merk op dat de site waarnaar wordt gelinkt de bron moet aanbieden via zowel HTTP als HTTPS om relatieve URL's te laten werken.)

Volg deze links voor meer browserspecifieke informatie over waarschuwingen voor gemengde inhoud:
Chrome
Firefox
internet Explorer
Uitstekende tools om niet-SSL-links in uw broncode op te sporen, zijn de ontwikkelaarstools die zijn ingebouwd in de Firefox als Chrome browsers. Informatie over het dwingen van een Apache-server om alleen HTTPS te verwerken kan zijn: hier gevonden.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com