SSL und Contao: Das leidige Thema

**SpeGal** · 17.04.2014, 13:08

Das Kontaktformular und ein interner Bereich der Seite soll über SSL ausgegeben werden. Da man bei Contao leider nicht einstellen kann, welche Seiten per SSL aufgerufen werden sollen, gebe ich einfach die komplette Seite über SSL aus. Das setze ich mit htaccess um:

Code:

RewriteCond %{SERVER_PORT} !=443
RewriteCond %{HTTP_HOST}    domain.de$ 
RewriteRule (.*) https://www.domain.de/$1 [R=301,L]
	 
RewriteCond %{HTTP_HOST}    !^www.
RewriteCond %{HTTP_HOST}    domain.de$
RewriteRule ^(.*)$ https://www.domain.de/$1 [L,R=301]

Manche ältere Browser machen da aber Probleme. Der IE8 meldet bspw.: "Möchten sie nur Webseiteninhalte anzeigen lassen, die über eine gesicherte Verbindung übermittelt wurden? Diese Seite enthält Inhalte, die nicht über eine Sichere HTTPS-Verbindung übermittelt wurden. Hierdurch kann die Sicherheit der ganzen Webseite beeinträchtigt werden. Auswahl: Ja/Nein".

Diese Meldung kommt bei jeder Unterseite, die man aufruft. Das kann ich dem Benutzer natürlich nicht zumuten. Liegt hier irgendein Einstellungsfehler vor, oder sind SSL, Contao (3.2.9.) und IE8 in Kombination einfach nicht verträglich. Und wenn so, was gibt es für Alternativen?

Danke für eure Hilfe!

**tab** · 17.04.2014, 13:23

Zitat von SpeGal

Diese Meldung kommt bei jeder Unterseite, die man aufruft. Das kann ich dem Benutzer natürlich nicht zumuten. Liegt hier irgendein Einstellungsfehler vor, oder sind SSL, Contao (3.2.9.) und IE8 in Kombination einfach nicht verträglich. Und wenn so, was gibt es für Alternativen?

IE11, FF, Chrome, Opera, ...

Oder nur das Kontaktformular und die Seiten des internen Bereichs per htaccess umschreiben?

***Nina*** · 17.04.2014, 13:24

Es wäre mir neu, dass es Probleme mit SSL + IE8 bei Contao gibt.

Da halte ich es für wahrscheinlicher, dass sich auf den betroffenen Seiten tatsächlich noch irgendeine Kleinigkeit befindet, die nicht korrekt eingebunden ist. Das kann z.B. ein Bild im Seitenlayout sein, das direkt mit http:// eingebunden ist. Ruf am besten die betroffene Seite auf und lass dir mal den ganzen Quellcode anzeigen. Durchsuche ihn dann nach "http://"-Angaben (ohne die Anführungszeichen). Links o.ä. sind egal, es geht um eingebundene Inhalte also z.B. <img src="http:// oder ähnliches.

**SpeGal** · 17.04.2014, 13:33

Danke, da war tatsächlich im fe_page ein:

Code:

<!--[if lt IE 9]>
<script src="http://html5shiv.googlecode.com/svn/trunk/html5.js"></script>
<script src="files/cto_layout/scripts/selectivizr-min.js"></script>
<![endif]-->

Nach der Änderung auf https gehen fast alle Seiten. Probleme machen aber Seiten mit YouTube-Videos. Die werden ja direkt übder das contaointerne Modul eingebunden. Kann ich da irgendwo einstellen, dass der dort https nimmt anstatt http? Oder muss ich die Videos zukünftig per Hand als iFrame einbauen? Das wäre irgendwie ein Armutszeugnis.

**stefan-at-work** · 17.04.2014, 14:02

schau Dir mal das Modul redirect an. Ist zwar nur bis zur 2.11.4. freigegeben. Wir haben es jedoch ohne Probleme auch bei einer 3.1. mit Sicherheitspatch im Einsatz.

**SpeGal** · 17.04.2014, 14:12

Danke Stefan, das Modul kenne ich schon. Ich würde es aber ungern in eine 3.2.9er-Installation integrieren. Außerdem scheint mir das ja ein generelles Contao-Problem zu sein. Es muss doch vom Core her möglich sein, eine Internetseite sowohl über http als auch https laufen zu lassen, ohne dass einzelne Core-Module hier rumzicken, oder? Das sollte doch auch ohne Erweiterung machbar sein.

**mcgruenigen** · 24.04.2014, 12:25

Hallo,
Du kannst auch nur einzelne Seiten auf https weiterleiten, ich sehe da kein Contao Core Problem.
Z.B.

HTML-Code:

RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} geschützte-seite-1|geschützte-seite-2
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]

RewriteCond %{HTTPS} on
RewriteCond %{REQUEST_URI} !geschützte-seite-1|geschützte-seite-2
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]

**SpeGal** · 24.04.2014, 12:42

Danke für den Hinweis. Kannst du mir ein Beispiel geben was man bei geschützte-seite-1|geschützte-seite-2 schreiben kann?

Generell finde ich aber, dass Contao gut geeignet ist und sein sollte für Leute, die nicht alles selber programmiertechnisch einstellen wollen oder können. Warum sollte man das die Leute über htaccess regeln lassen, wenn man das doch auch vermutlich relativ einfach in den Core integrieren könnte, so dass auch Laien das hinbekommen können. Das ist doch eigentlich gerade eine der Stärken von Contao, dass man nicht viel Programmiervorkenntnisse braucht.

**mcgruenigen** · 24.04.2014, 12:58

Zitat von SpeGal

Danke für den Hinweis. Kannst du mir ein Beispiel geben was man bei geschützte-seite-1|geschützte-seite-2 schreiben kann?

Wenn du z.B. die Seiten login.html, kundenbereich.html und das contao Backend schützen willst, dann in etwa so (nicht getestet):

HTML-Code:

RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} login|kundenbereich|(contao)
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]

RewriteCond %{HTTPS} on
RewriteCond %{REQUEST_URI} !login|kundenbereich|(contao)
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]

P.S.: Wichtig ist das Rufzeichen in Zeile 5.