Wer kennt sich aus? SSL: Enthält nicht authentifizierte Inhalte

[Anke]

Hallöchen,

ich habe ein SSL-Zertifikat, ausgestellt auf eine Domain. Die Website ist über 6 unterschiedliche Domains aufrufbar; alle Schreibweisen werden per rewrite auf die www.hauptdomain.tdl umgeschrieben, die per http oder https aufgerufen werden kann.

Die Website enthält viele Formulare, die ich via Redirect-Modul im Seitenlayout auf die verschlüsselte Verbindung leite. Das funktioniert soweit alles gut, aber eine Kleinigkeit stört dennoch: Alle Browser melden, dass die Seite auch nicht verschlüsselte Daten enhält. Das macht a) keinen guten Eindruck bei der Erhebung relativ sensibler Daten und nervt b) vor allem im Explorer, der gleich mit Dialogfenstern aufwartet und leider immer noch von den meisten verwendet wird.

Da man im IE wählen kann, ob nur die verschlüsselten oder die gemischten inhalte angezeigt werden sollen, habe ich beide ausgegebenen Quelltextversionen mal verglichen. Unterscheiden tun sie sich neben den Captcha-Zeilen lediglich in der allerletzten Zeile. Die endet auf der Seite mit den gemischten Inhalten ganz normal mit </html>, während auf der Seite, die angeblich nur die verschlüsselten Inhalte geladen hat, hinter dem </html> mal ein Unterstrich, mal ein Kästchen angezeigt wird und offenbar neben Leerzeichen noch ein Zeilenvorschub folgt (siehe Screenshot).

Kann mir jemand sagen, wie ich es hinbekomme, dass jeweils die komplette Seite verschlüsselt wird, damit es nicht zu dieser Warnung kommt? Muss dazu was im Seitentemplate angepasst werden? Ich bin nicht sehr glücklich mit diesem Zustand ...

Viele Grüße,
Anke

[tril]

ich habe ein SSL-Zertifikat, ausgestellt auf eine Domain. Die Website ist über 6 unterschiedliche Domains aufrufbar; alle Schreibweisen werden per rewrite auf die www.hauptdomain.tdl umgeschrieben, die per http oder https aufgerufen werden kann.

Zuerst, eine Info um welche Domain es geht, würde die Fehleranalyse drastisch vereinfachen

Also es gibt 3 Arten von Fehlermeldungen in Bezug auf SSL:

1. (dürfte in deinem Fall überhaupt nicht zutreffen) "Die aufgerufene Seite verwendet ein nicht vertrauenswürdiges Zertifikat"
Das trifft immer dann zu, wenn du ein selbst signiertes Zertifikat hast.

2. "Das Zertifikat passt nicht zur Domain"
Dieser Fall tritt ein, wenn du ein Zertifikat zur Domain www.hauptdomain.tld auf der Domain www.alternativdomain.tld verwendest. Das könnte bei dir eintreten, wenn eine deiner Alternativdomains mit https:// aufgerufen wird.

3. "Die Seite enthält unsichere Inhalte"
Dieser Fall ist eigentlich nur beim IE "nervend", weil dieser als einziger eine Warnmelung ausspukt. Andere Browser zeigen zwar ein Warnsymbol, meistens in der Statusleiste an, meckern aber nicht mit einer Popup-Meldung.

Die Website enthält viele Formulare, die ich via Redirect-Modul im Seitenlayout auf die verschlüsselte Verbindung leite. Das funktioniert soweit alles gut, aber eine Kleinigkeit stört dennoch: Alle Browser melden, dass die Seite auch nicht verschlüsselte Daten enhält. Das macht a) keinen guten Eindruck bei der Erhebung relativ sensibler Daten und nervt b) vor allem im Explorer, der gleich mit Dialogfenstern aufwartet und leider immer noch von den meisten verwendet wird.

Mein Tipp: Setze die ganze Website auf SSL:

Code:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^/(.*) https://%{SERVER_NAME}%{REQUEST_URI} [R]

Imo macht das allgemein einen besseren Eindruck, als wenn nur einzelne Seiten der Website verschlüsselt sind. Der Overhead der bei SSL entsteht, ist dank dem Browser-Caching auch auf Mobilen Geräten durchaus zu vernachlässigen.

Da man im IE wählen kann, ob nur die verschlüsselten oder die gemischten inhalte angezeigt werden sollen, habe ich beide ausgegebenen Quelltextversionen mal verglichen. Unterscheiden tun sie sich neben den Captcha-Zeilen lediglich in der allerletzten Zeile. Die endet auf der Seite mit den gemischten Inhalten ganz normal mit </html>, während auf der Seite, die angeblich nur die verschlüsselten Inhalte geladen hat, hinter dem </html> mal ein Unterstrich, mal ein Kästchen angezeigt wird und offenbar neben Leerzeichen noch ein Zeilenvorschub folgt (siehe Screenshot).

Der IE (sollte) den HTML Code nicht verändern, er blockiert einfach nur unsichere Inhalte wenn du auf "nur verschlüsselte Inhalte anzeigen" klickst.

Kann mir jemand sagen, wie ich es hinbekomme, dass jeweils die komplette Seite verschlüsselt wird, damit es nicht zu dieser Warnung kommt? Muss dazu was im Seitentemplate angepasst werden? Ich bin nicht sehr glücklich mit diesem Zustand ...

Viele Grüße,
Anke

Gibt es im HTML Quellcode absolute URLs die mit http:// anfangen? Das sind die "unverschlüsselten" Inhalte, die der IE anmeckert. Es geht dabei nicht um die HTML Seite, sondern um die zusätzlichen Ressourcen die geladen werden: JavaScript, Bilder und sogar Flash Dateien.

[Anke]

tril,

zuerst mal herzlichen Dank für dein ausführliches Feedback. Das hat mir sehr geholfen, noch ein bisschen was auszutesten bzw. auszuschließen.

Zuerst, eine Info um welche Domain es geht, würde die Fehleranalyse drastisch vereinfachen.

Ich weiß. Die hätte ich dir gern per PM schicken können.

Gibt es im HTML Quellcode absolute URLs die mit http:// anfangen?

Ja, es gibt absolute URLs wie (Doc-Type,) Base-Tag, News.xml, cron.php. Diese URLs waren aber nicht das Problem, sie werden, wie ich jetzt gesehen habe, auf sicheren Seiten automatisch in https-Links umgewandelt. Was nicht von selbst umgewandelt wird, ist die im Seitenlayout hinterlegte URL zur Piwik-Installation, und diese hat die Warnmeldungen verursacht.
Ganz verstehe ich das allerdings noch nicht. Ich nehme an, es ist nicht das SSL-Modul, das die URLs ändert, sondern Contao. Und Contao ändert nur dynamisch erzeugte Links. Ist das so richtig? Wenn ich die Piwik-URL in https ändere, ist alles wunderbar.

Es funktioniert jetzt also beides (ohne Warnmeldungen): die Verschlüsselung einzelner Seiten und die der ganzen Website. Was es nun sein soll, entscheiden andere. Aber für den Fall, dass die ganze Website verschlüsselt werden soll, hätte ich dazu noch eine Frage:

Der htaccess-Eintrag, der alle Domainschreibweisen (z.B. http://haupt-domain.eu, http://www.haupt-domain.de usw.) ändert in http://www.hauptdomain.tld, lautet:

Code:

RewriteCond %{HTTP_HOST} !^www\.hauptdomain\.tld$
RewriteRule ^(.*)$ http://www.hauptdomain.tld/$1 [L,R=301]

Der von dir angegebene Eintrag funktionierte leider nicht. Daraufhin hab ich den Anfang der Regel mal so geschrieben wie oben, also "^(.*)$" statt "^/(.*)" und damit wird die ganze Website verschlüsselt:

Code:

RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R]

Leider verstehe ich nur ziemlich viel Bahnhof von alledem - ist es möglich oder sinnvoll, aus diesen zwei Anweisungen eine zu machen? Oder bringt es keine Nachteile, diese Umschreibungen nacheinander auszuführen?

Viele Grüße,
Anke

[xchs]

Hallo Anke,

Du könntest es eventuell so versuchen:

Code:

  RewriteCond %{SERVER_PORT} ^443$
  RewriteCond %{HTTP_HOST} ^hauptdomain\.tld [NC]
  RewriteRule (.*) https://www.hauptdomain.tld/$1 [R=301,L]

  RewriteCond %{HTTP_HOST} ^hauptdomain\.tld [NC]
  RewriteRule (.*) http://www.hauptdomain.tld/$1 [R=301,L]

[Anke]

Darauf kommt leider gar keine Reaktion, also weder wird z.B. haupt-domain.tld umgeschrieben zu www.hauptdomain.tld noch greift die Verschlüsselung.

Meine Bedingungen funktionieren ja, ich wollte eher wissen, ob jemand vielleicht entgeistert den Kopf schüttelt, denn ich hab mir die Anweisungen so im Netz zusammengesucht und bin nach Trial and Error vorgegangen

VG
Anke