Warum SSL-zertifizierte Seiten trotzdem als unsicher markiert werden

Sie haben ein SSL-Zertifikat, aber das begehrte Schloss-Symbol fehlt? 

 

Einkäufe, Bankgeschäfte oder Behördengänge – all das ist heute bequem von zu Hause aus möglich. Aber bietet das Internet dieselbe Sicherheit, als würde der Kunde am Tresen stehen oder unter vier Augen mit dem Kundenberater sprechen? Cyberkriminelle haben Methoden entwickelt, um an vertrauliche Daten von Internet-Nutzern zu gelangen. Als eine der potenziellen Schwachstellen haben sie die Daten-Übermittlung zwischen Nutzer und Web-Anwendung ausgemacht. Ihr Ansatz: Sie schalten sich zwischen die unverschlüsselte Server-Client-Kommunikation und lauschen dort mit.


SSL-geschützte Websites schieben dem einen Riegel vor. Nutzer erkennen sie daran, dass in der Adresszeile des Browsers HTTPS statt dem altbekannten HTTP steht. Hinzu kommt bei modernen Browsern eine zusätzliche Anzeige in Form eines grünen Schloss-Symbols.

 

Warum ist SSL überhaupt so wichtig?

SSL steht für „Secure Sockets Layer“. Frei übersetzt bedeutet das: „sichere Verbindungsebene“. Diese Technik verschlüsselt die Kommunikation von Daten, die zwischen dem Computer eines Nutzers und dem Server, auf dem die Webseite liegt, ausgetauscht werden. Um die Verschlüsselung auf der eigenen Website zu verwenden, ist ein in der Regel kostenpflichtiges Zertifikat notwendig.


Was aber, wenn das teuer erkaufte SSL-Zertifikat nicht richtig funktioniert und Ihre SSL-zertifizierte Seite den Besuchern dennoch als nicht sicher angezeigt wird? Damit geht einer der beiden wichtigsten Vorteile verloren: Neben einem besseren Suchmaschinen-Ranking schafft ein SSL-Zertifikat Vertrauen bei Besuchern und Webshop-Kunden. Ein gelbes oder rotes Schloss im Browser ist kontraproduktiv.

 

Unsichere Webseite trotz SSL-Zertifikat – warum?

Wenn Ihre Domain trotz SSL-Zertifikat als unsicher markiert ist, liegt in den meisten Fällen eine Mixed-Content-Warnung vor. Diese tritt auf, wenn sich die Inhalte eines Internet-Auftritts aus verschlüsselten (HTTPS) und unverschlüsselten (HTTP) Ressourcen zusammensetzen. Typischerweise handelt es sich bei diesen unverschlüsselten Inhalten um eingebundene Bilder, iFrames, CSS- und JavaScript-Dateien sowie Audio- und Videofiles.


Ob das in Ihrem Fall zutrifft, überprüfen Sie direkt im Quelltext Ihrer Webseiten. Öffnen Sie dazu den Quellcode und suchen Sie mit der entsprechenden Suchfunktion nach src=„http://. Alternativ helfen Online-Tools wie Why No Padlock, Mixed Content Scan und HTTPSChecker. Praktisch: Die neueste Version des Chrome-Browsers von Google zeigt bei einer Mixed-Content-Warnung direkt an, welche HTTP-Inhalte den Fehler auslösen.


Im Quelltext finden Sie zwei Arten von Mixed Content:

 

  • Mixed Passive Content: Hierbei handelt es sich um Inhalte, die passiv ausgeliefert und angezeigt werden. In diese Kategorie fallen unter anderem Bilder, Videos und Audiodateien.
  • Mixed Active Content: Seltener und gleichzeitig gefährlicher für den Besucher sind aktive Inhalte wie Scripts – daher auch die alternative Bezeichnung Mixed Scripting. Dazu gehören Links, Skripte wie JavaScript, iFrames, CSS-Dateien, XML-http-Request-Objekte und Objekt-Daten-Attribute. Werden diese Inhalte unverschlüsselt übertragen, hat das gravierende negative Auswirkungen auf das Sicherheitslevel Ihrer Webseite.

 

Häufigste Auslöser von Mixed-Content-Warnungen sind einfache Bilder aus ungesicherten Quellen. Dieses Problem lässt sich vergleichsweise einfach beheben.

 

Wie lässt sich das Mixed-Content-Problem beheben?

Um Mixed-Content-Probleme zu vermeiden, müssen Sie sämtliche Inhalte auf Ihrer Domain grundsätzlich über HTTPS statt HTTP anbieten. Das heißt für Sie: Tauschen Sie die gefundenen http:// -Inhalte jeweils durch ihr https:// -Äquivalent aus.

 

Stellen Sie zuvor sicher, dass die jeweilige Ressource über eine sichere HTTPS-Verbindung verfügbar ist. Kopieren Sie dazu die HTTP-URL in einen Webbrowser, ändern Sie http:// in https:// und rufen Sie die entsprechende URL auf. Wird der Link oder das Bild aus der externen Quelle korrekt angezeigt, kann die URL im Quellcode bedenkenlos von HTTP zu HTTPS geändert werden.


Ist das nicht der Fall, gibt es die folgenden Möglichkeiten:

 

  • Binden Sie die Ressource aus einer anderen Quelle ein.
  • Laden Sie den Inhalt herunter und bieten Sie ihn selbst über Ihren Server an, sofern Sie rechtlich dazu autorisiert sind.
  • Verzichten Sie komplett auf die Ressource.

Die Lösung für größere Websites

Die unsicheren Ressourcen Ihrer Domain manuell auszutauschen ist Ihnen zu viel Arbeit? Oder ist Ihr Internet-Auftritt viel zu komplex und umfangreich, als dass die Suche nach Mixed Content ohne Weiteres machbar wäre? Dann stellt für Sie das Sicherheitskonzept Content Security Policy (CSP) eine elegante Alternative dar.


Die Einbindung ist auf zwei Arten möglich:

 

  • im Header mit dem Eintrag Content-Security-Policy: upgrade-insecure-requests
  • per Meta-Tag <meta http-equiv=“Content-Security-Policy„ content=“upgrade-insecure-requests">

 

Beides führt dazu, dass -URLs automatisch zu https:// umgewandelt werden. Mozilla Firefox unterstützt das HTTP-Header-Feld ab Version 23, Google Chrome seit Version 25 und der Internet Explorer ab den Releases 10 und 11.