Die Verschlüsselung von Websites ist im heutigen Internet fast schon obligatorisch. Wenn Sie Ihre Website nicht verschlüsseln, wird sie von den Browsern als nicht sicher eingestuft. Sie könnten die originellsten Inhalte im Web haben, aber ohne SSL sehen Ihre Besucher stattdessen eine abschreckende Sicherheitswarnung.
SSL-Zertifikate sind für die Erstellung von Websites unverzichtbar geworden, doch ihre Verwaltung ist für technisch weniger versierte Benutzer nach wie vor eine ziemliche Herausforderung. Die Installation kommerzieller Zertifikate kann für Unerfahrene einige Hürden mit sich bringen, was man ihnen nicht verübeln kann.
Fast alle Server und E-Mail-Clients verfügen über spezifische Anweisungen zur Verwaltung von SSL, und wenn Sie mit den Dashboards oder Befehlszeilen nicht vertraut sind, kann es schwierig sein, Ihre Zertifikate in der richtigen Reihenfolge hochzuladen.
Noch ärgerlicher sind die SSL-Verbindungsfehler, die auftreten, nachdem Sie das Zertifikat bereits installiert haben. Eines der häufigsten SSL-Probleme ist der Fehler “gemischter Inhalt”. In diesem Artikel werden wir untersuchen, was gemischte Inhalte sind und wie man sie manuell oder mit Hilfe von SSL-Tools beheben kann. Fangen wir an!
Was ist gemischter Inhalt?
Gemischte Inhalte erscheinen auf einer Website, wenn der ursprüngliche HTML-Code über eine verschlüsselte HTTPS-Verbindung geladen wird, andere Ressourcen wie Videos, Bilder, Skripte und Stylesheets jedoch über eine unverschlüsselte HTTP-Verbindung geladen werden. Wenn sowohl HTTP- als auch HTTPS-Anfragen auf ein und derselben Seite erfolgen, können Browser den Inhalt blockieren oder eine Sicherheitswarnung anzeigen, um die Benutzer darauf hinzuweisen, dass die betreffende Seite unsichere Ressourcen enthält.
Es gibt zwei Arten von gemischten Inhalten: passive und aktive.
1. Passiver gemischter Inhalt
Passive gemischte Inhalte gelten für alle Ressourcen, die nicht direkt mit Ihrer Seite interagieren. Das können Ihre Bilder, Videos oder Audiodateien sein. Wenn Hacker Man-in-the-Middle-Angriffe nutzen und Ihre HTTP-Anfragen abfangen, können sie Ihre Bilder ändern, Produkte durch anstößige Inhalte oder Werbung ersetzen oder die Schaltflächen zum Speichern und Löschen vertauschen, so dass die Benutzer unbeabsichtigte Aktionen ausführen.
Selbst wenn die Angreifer Ihre Inhalte nicht verändern, können sie Ihre Benutzer und deren Aktionen anhand gemischter Inhaltsanfragen verfolgen. Anhand der unsicheren Ressourcen, die von den Browsern geladen werden, können die Angreifer sehen, welche Seiten und Produkte die Benutzer besuchen. Hier sind einige Beispiele für die Weitergabe gemischter Inhalte.
2. Aktiver gemischter Inhalt
Aktive gemischte Inhalte sind sogar noch gefährlicher als passive gemischte Inhalte, da sie mit der Seite als Ganzes interagieren und Angreifern die Freiheit geben, alles mit ihnen anzustellen. Zu den aktiven gemischten Inhalten gehören Stylesheets, Skripte, Flash-Ressourcen und anderer Code, der von Browsern geladen wird. Wenn Angreifer aktive gemischte Inhalte abfangen, erhalten sie vollen Zugriff und Kontrolle über Ihre Website. Im schlimmsten Fall stehlen sie die Anmeldedaten und Kennwörter der Benutzer oder leiten sie auf eine ganz andere Website um. Aufgrund der Schwere der Bedrohungen durch aktive gemischte Inhalte blockieren viele Browser diese standardmäßig, um die Nutzer zu schützen. Es ist jedoch wichtig zu bedenken, dass Ihre Besucher möglicherweise ältere Browserversionen oder Browser verwenden, die aktive gemischte Inhalte überhaupt nicht blockieren.
Die Jungs von PULNO, einem SEO-Audit- und Website-Analyse-Service, haben über 37 Millionen Seiten untersucht und festgestellt, dass über 2 Millionen Seiten Ressourcen haben, die über HTTPS nicht geladen werden können. Von allen analysierten Hosts hatten 4,9 % einen gemischten Inhalt. Davon hatten 66,5 % Probleme mit Bildern und 17,1 % mit JavaScript-Elementen.
Wie Sie sehen, besteht der nächste Schritt nach der SSL-Installation darin, sicherzustellen, dass alle Ihre Bilder und Ihr Code über HTTPS geladen werden. Leider übersehen viele Webmaster diesen Aspekt und enden damit, dass sie gemischten Fehlern nachjagen, während sie Besucher an die Konkurrenz verlieren. Im Folgenden zeigen wir Ihnen, wie Sie gemischte Inhalte so schnell wie möglich korrigieren können, damit Ihre Website für alle sichtbar bleibt.
Wie kann man gemischte Inhalte manuell korrigieren?
Wenn Sie in Browsern die Meldung “Nicht sicher” sehen, sollten Sie als Erstes prüfen, ob möglicherweise gemischte Inhalte vorliegen.
Hier sehen Sie, wie Sie das in Chrome machen:
- Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle der Seite, die nicht über HTTPS geladen werden kann
- Wählen Sie aus den Optionen Element inspizieren
- Wählen Sie unter den verfügbaren Registerkarten Konsole
Wenn Sie gemischte Inhalte auf Ihrer Website haben, zeigt die Konsole die Warnungen vor gemischten Inhalten an und gibt den Speicherort der HTTP-Datei an. Passive gemischte Inhalte werden neben einer gelben Warnung angezeigt, aktive gemischte Inhalte neben einer roten.
Wenn nur einige wenige URLs in diesen Fehlern und Warnungen aufgeführt sind, können Sie sie in drei schnellen Schritten manuell beheben:
Schritt 1
Stellen Sie sicher, dass die URL über HTTPS verfügbar ist. Öffnen Sie eine neue Registerkarte in Ihrem Browser und geben Sie die URL in die Adressleiste ein, indem Sie http:// in https:// ändern.
Wenn das Bild sowohl über HTTP als auch über HTTPS ohne Fehler geladen wird, ist das großartig! Fahren Sie mit dem nächsten Schritt fort.
Hinweis: Wenn eine Zertifikatswarnung erscheint, ist das Bild nicht sicher verfügbar. Dies kann bei Bildern passieren, die bei externen Diensten gehostet werden. In diesem Fall können Sie das Bild entweder herunterladen und auf Ihren Hoster hochladen, wenn Sie rechtlich dazu befugt sind, oder es ganz von Ihrer Website entfernen. Als Faustregel gilt, dass Sie Ihre Bilder immer auf Ihrem Server hosten sollten. Auf diese Weise haben Sie die vollständige Kontrolle über sie.
Schritt 2
Ändern Sie die URL von http:// auf https:/, speichern Sie die Quelldatei und stellen Sie die aktualisierte Datei ggf. erneut bereit.
Schritt 3
Öffnen Sie die Seite, auf der Sie den Fehler mit dem gemischten Inhalt gefunden haben, und überprüfen Sie, ob der Fehler nicht mehr auftritt.
Wie kann man den gemischten Inhalt automatisch korrigieren?
Ein paar zu ersetzen ist einfach, aber was tun, wenn Sie Dutzende oder sogar Hunderte von Links mit gemischtem Inhalt haben? Gibt es eine Möglichkeit, sie automatisch zu reparieren? Sicher ist es das. Die meisten CMS-Systeme sollten Plugins bereithalten, die Sie bei diesem Problem unterstützen. Bei WordPress zum Beispiel gibt es viele Möglichkeiten, wobei das Really Simple SSL Plugin eine beliebte Wahl ist.
Wenn Sie ein fortgeschrittener Benutzer sind, können Sie dieses praktische Skript verwenden, um Ihre Datenbank zu durchsuchen und die HTTP-URLs massenhaft zu ersetzen. Sie benötigen einen FTP-Zugang, um das Skript hochzuladen. Seien Sie bitte vorsichtig, da dies Ihre Website zerstören kann, wenn sie nicht richtig funktioniert.
Beachten Sie diese Sicherheitshinweise bei der Verwendung des Skripts:
- Benennen Sie den Stammordner des Skripts um, damit Hacker ihn nicht so leicht finden können.
- Sichern Sie Ihre Website und Datenbank vor der Verwendung
- Überprüfen Sie den Text immer doppelt und machen Sie einen Trockenlauf (Übung), bevor Sie einen Live-Lauf durchführen.
- Löschen Sie das Skript, nachdem es seine Aufgabe erfüllt hat
Wie lassen sich gemischte Inhalte erkennen und verhindern?
Nachdem Sie HTTPs aktiviert haben, sollten Sie Ihr SSL-Zertifikat auf Fehler und Schwachstellen überprüfen. Zahlreiche Tools können Ihre Website scannen und potenzielle SSL-Verbindungsfehler, einschließlich gemischter Inhalte, erkennen.
JitBit Scanner ist ein kostenloses Tool, das Ihre gesamte Website durchsucht und nach unsicheren Ressourcen sucht. Bitte beachten Sie, dass Sie mit diesem Tool nur bis zu 400 Seiten scannen können.
Eine alternative Option ist Mixed Content Scan, ein CLI-Skript (Befehlszeilenschnittstelle), das HTTPS-fähige Websites nach gemischten Inhalten durchsucht.
Eine weitere Möglichkeit, gemischte Inhalte automatisch zu korrigieren, ist die CSP-Richtlinie (content security policy) upgrade-insecure-requests. Diese Direktive weist den Browser an, unsichere URLs zu aktualisieren, bevor Netzwerkanfragen gestellt werden.
Sie können dieses Verhalten aktivieren, indem Sie den folgenden Meta-Tag-Codeabschnitt in den HTML-Abschnitt des Dokuments einfügen.
Bitte beachten Sie, dass die Browser die HTTP-Ressource nicht aktualisieren und laden können, wenn diese nicht über eine sichere Verbindung verfügbar ist. Die Besucher können jedoch weiterhin auf Ihre Seite zugreifen.
Abschließende Überlegungen
Die Sicherheit Ihrer Website ist in der heutigen Online-Landschaft von entscheidender Bedeutung. Da die Webverschlüsselung sowohl bei Google als auch bei Firefox mehr als 90 % beträgt, erkennen die Nutzer eine unsichere Website sofort und stellen sie in Frage. Sie möchten sicher nicht, dass Ihre Website aufgrund eines leicht vermeidbaren Fehlers bei gemischten Inhalten einen falschen Eindruck erweckt. Überprüfen Sie Ihr SSL-Zertifikat regelmäßig und aktualisieren Sie alle Ihre Links, sobald Sie auf HTTPS umgestellt haben. Eine sichere Website ist sowohl für Ihre Besucher als auch für Ihr Unternehmen eine sichere Website.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10