Umstellung auf HTTPS, was ist alles zu tun?

[BugBuster]

So, habe nun bei uberspace mir ein Let's Encrypt Zertifkat installiert. (3 Kommandozeilen Aufrufe, fertig. )
Funktioniert, habe ich mal mit dem Backend getestet.

Was muss ich nun alles machen damit Frontend auch damit läuft?
Meine Überlegung dazu bisher ist:

1. .htaccess anpassen, das alles zu https umgeleitet wird was mit http ankommt
2. Startpunkt der Webseite: https in der Sitemap verwenden
3. Seitencache löschen
4. neue Sitemap zu Webmaster Tools hochladen unter https als neue Property

War es das? Oder hab ich was vergessen oder ist was falsch?

[Samuell]

Auf den ersten Blick klingt es komplett.
Erinnere mich jetzt spontan auch nicht, dass ich letztes mal mehr getan habe.

Ach ja, externe Ressourcen, sofern vorhanden, auch auf https umstellen. Soonst gibt es kein Schloss.

[peter.fl]

@Samuell

Ach ja, externe Ressourcen, sofern vorhanden, auch auf https umstellen. Sonst gibt es kein Schloss.

Diesem Thema bin ich vorgestern begegnet. Ich (nicht Programmierer) hatte vor einiger Zeit auf dem Hosterpanel auf SSL umgestellt. Nun fiel mir auf, dass die via HTML eingebundene Wetterseite des CH-Fernsehens nicht mehr funktionierte. Vom Hoster bekam ich folgenden Bescheid:

Damit extern eingebundene Inhalte auf einer SSL gesicherten Webseite ausgegeben werden, muss die URL des Inhalts auch via httpS also https://sf.meto.ch.... erreichbar sein.Falls dies nicht verfügbar ist, wird der Inhalt nicht angezeigt werden. Es gibt hier keinen Umweg.

Meinst Du mit "externe Ressourcen, sofern vorhanden, auch auf https umstellen" das, was mein Hoster mir gesagt hat? Oder gibt es noch einen anderen, Contao-internen, Weg?

[Spooky]

Da geht es um alle Resourcen, die in deiner Website eingebunden werden. Also Sachen wie

PHP-Code:

<script src="…"></script>
<iframe src="…"></iframe>
<link href="…"> 


und dergleichen. Wenn die absolut mit http:// anstatt https:// oder // eingebunden sind, dann werden sie vom Browser nicht geladen.

[3dr]

Ist es schon sinnvoll Let's Encrypt zu verwenden, habe das testhalber mal bei All-Inkl aktiviert, dann erscheint aktuell allerdings der folgende Hinweis:

Das Let's Encrypt Projekt befindet sich aktuell in der BETA PHASE, d.h. man muss mit eventuellen Problemen rechnen.

[3dr]

Jetzt frage ich mich, wie die .htaccess korrekt anzupassen ist, wenn ich der Domain das www. voranstellen möchte. Bei stackoverflow habe ich diesen Thread gefunden. Daher habe ich den Eintrag der in der von Contao mitgelieferten .htaccess steht:

Code:

   RewriteCond %{HTTP_HOST} ^example\.com$ [NC]
   RewriteRule (.*) http://www.example.com/$1 [R=301,L]

geändert in:

Code:

RewriteCond %{HTTP_HOST} ^example\.com$ [NC]
RewriteRule (.*) https://www.example.com/$1 [R=301,L]

RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.example.com/$1 [L,R=301]

wäre das so richtig? Oder ist es evtl. noch besser die gefundenen Einträge:

Code:

#First rewrite any request to the wrong domain to use the correct one (here www.)
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

#Now, rewrite to HTTPS:
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

unverändert zu übernehmen, das könnte dann doch auch in einer Multidomain-Installation funktionieren, oder? Als Ncht-Programmierer kenne ich mich damit nicht gut aus und frage lieber ehe ich mir was zerschiesse. Danke für Tipps und Hinweise.

[Spooky]

Funktioniert beides. Die zweite Lösung ist die allgemeinere, da damit alle Domains auf https://www weitergeleitet werden, nicht nur spezifische.

[3dr]

Aha, vielen Dank Spooky für die Erklärung, schönes WE noch!

[3dr]

So, lasse jetzt über meine Multidomaininstallation erfolgreich 3 Domains zertifiziert ausliefern, unsicher bin ich mir nur noch wegen dem bereits o.a. Hinweis von All-Inkl:

Das Let's Encrypt Projekt befindet sich aktuell in der BETA PHASE, d.h. man muss mit eventuellen Problemen rechnen.

Mit welchen Problemen wäre da aus eurer Erfahrung evtl. zu rechnen, der freundliche Telefonsupporter hielt sich bedeckt. Danke für Rückmeldungen.

[Spooky]

Naja, Let's encrypt wird zumindest schon vielerorts eingesetzt.

[BugBuster]

So, zwei Seiten bzw. eine Domain und eine Subdomain sind nun letsencryptifiziert

Mal sehen ob das auf Dauer alles gut geht.

[kdf]

Eine Frage bitte insbes. an BugBuster.

Ich habe die 4 Punkte in Deinem ersten Artikel abgearbeitet.
Nun habe ich in den Webmaster Tools noch die PROPERTY https://www. und https://
hinzugefügt. Ist das richtig und sollte ich dafür http://www und http://
jetzt noch löschen?

Vielen Dank im Voraus und beste Gruesse!

KDF

P.S. Hier habe ich einen Artikel gefunden, der u.a. meine Frage beantwortet. ERLEDIGT

https://www.luna-park.de/blog/9331-h...anking-faktor/

[jenda]

Hallo,

ich lade die externen Inhalte über https. Allerdings werden diese nicht geladen. Woran kann das liegen? Siehe unter dem Bild und in der Fußzeile.

Für jeden Ratschlag bin ich dankbar.

[PaddySD]

Das hat mal gar nichts mit https zu tun. iframe ist offensichtlich kein erlaubtes Tag, es wird lt. Quellcode maskiert, damit kann es nicht funktionieren. Ebenso das script Tag weiter unten...

In Deinem Quellcode (HTML-Source) siehst Du da sehr schön in Zeile 308. Ausserdem hast Du noch einen Tippfehler in Zeile 141.

EDIT. Achso, machen kannst Du dagegen folgendes: Binde Dein Iframe über ein HTML-Content-Element (eigener HTML-Code) ein, dass sollte klappen.

[jenda]

Danke für den Tipp. iframe habe ich noch einmal explizit eingetragen - vor der Umstellung hat es auch ohne den Eintrag funktioniert. Jetzt muss ich noch schauen, warum das mit dem Script nicht klappt.

Nachtrag: auch da war das wegen des fehlenden Eintrags. Interessanterweise hat es aber vorher in beiden Fällen ohne den Eintrag im Feld Erlaubte Tags funktioniert.

[Kahmoon]

NAchdem ich es die Tage so oft gemacht habe:

Im Fall von all-Inkl musst du fast gar nichts machen.

• Lets Encrypt aktivieren und speichern
• Noch mal im Menüpunkt zurück auf Domains gehen und die eben umgestellte Domain noch mal bearbeiten (geht nicht in einem Schritt - Bug) und zweiten Punkt "https erzwingen" auf "Ja" stellen
• In Contao im Startpunkt "https in Sitemaps anzeigen"
• Systemwartung durchführen und Sitemaps neu erzeugen
• Google Webmastertools/Search Console die Seite unter https als neue Property hinzufügen

Das wars.

Falls du noch externe Inhalte wie Scripts oder iFrames einbettest....überprüfen ob diese mit https Adressen eingefügt werden sonst gibt das ein Problem.

VG