Durch Mixed Content Warnung unsichere Verbindung trotz SSL Zertifikat

Ein SSL Zertifikat schützt sowohl den Besucher, als auch den Betreiber einer Webseite, indem alle Daten verschlüsselt übertragen werden. Damit ist es nicht mehr möglich, diese während der Übertragung mitlesen zu können. Gerade in Online-Shops ist die Nutzung eines SSL Zertifikats äußerst sinnvoll, da hier sensible Informationen, wie Bank- und Kundendaten weiter gegeben werden. Man erkennt ein aktives SSL Zertifikats an einem kleinen grünen Schloss oder der grünen Leiste in der Adresszeile.

Es ist jedoch möglich, dass an dieser Stelle trotz eines aktiven SSL Zertifikats kein solches Symbol angezeigt wird, sondern eine sogenannte „Mixed Content“-Warnung. Das Warnsymbol sieht in jedem Browser anders aus, teilt Ihnen jedoch immer mit, dass die Verbindung nicht vollständig sicher ist. Nun hat der Besucher zwei Möglichkeiten, mit dieser Warnung umzugehen:

• Er ignoriert die Warnung und nimmt die möglichen Sicherheitsrisiken in Kauf.
• Er nimmt die Warnung ernst und verlässt die Webseite umgehend.

Die zweite Variante ist besonders schlimm, wenn es sich bei der Webseite um einen Online-Shop handelt, denn keine Kunden bedeutet auch kein Umsatz.

Was sind eigentlich „Mixed Content“-Warnungen?

Mixed-Content-Warnungen sind Meldungen, die dem Besucher mitteilen, dass die per https aufgerufene, verschlüsselte Webseite auf Inhalte von ungesicherten Quellen zugreift. Generell unterscheidet man hier zwischen zwei verschiedenen Arten von Mixed Content:

„Mixed Active Content“ sind ausführbare Dateien auf der Webseite. In den meisten Fällen handelt es sich dabei um Skriptdateien, die in PHP, Perl oder JavaScript geschrieben sind.
Wenn solche Dateien trotz einer https-Verbindung der Webseite über http geladen werden, können die vorliegende SSL Verschlüsselung und die vorgenommenen Sicherheitsmaßnahmen komplett umgangen werden. Da ein solcher unsicherer Aufruf sehr gefährlich ist, blockieren heutige Webbrowser solche Inhalte grundlegend.

„Mixed Passive Content“ sind im Gegensatz nicht ausführbare Dateien, wie Bilder, Audiodateien, Videos, oder Dokumente und ist die häufigere und ungefährlichere Art. Hier entstehen die Warnungen, indem Inhalte direkt per http über einen absoluten Dateipfad eingebunden werden. Dabei spielt es keine Rolle, ob die Datei auf dem eigenen Server oder auf einer externen Webseite liegt. Hier befindet sich auch die häufigste Ursache für eine Mixed-Content-Warnung: Logos von Projektpartnern, die einen http-Link auf deren Webseite enthalten.
Obwohl von solchen Dateien nur ein geringeres Sicherheitsrisiko ausgeht, können Sie dennoch Probleme verursachen, besonders wenn deren Quellen nicht mehr erreichbar sind.

Was kann ich machen, um „Mixed Content“-Warnungen zu vermeiden bzw. zu beheben?

Um Mixed- Content-Warnungen auf Ihrer Webseite zu verhindern, gibt es einige Tipps, die Sie beim Erstellen neuer Inhalte beachten sollen. So ist es webseiten- und serverintern immer sinnvoll, anstatt der absoluten Adresspfade (Beispiel: http://www.IhreDomain.de/galerie/bild2.jpg) einen relativen Pfad zu verwenden (Beispiel: /var/www/webXX/html/galerie/bild2.jpg). Bei statischen html-Seiten kann meist auf die Ordnerstruktur verzichtet werden, sodass z.B. /galerie/bild2.jpg als Pfad vollkommen ausreicht.
Viele Websysteme, wie Joomla oder WordPress, hingegen erstellen beim Einfügen der Bilder über den Administratorbereich bereits selbstständig eigene Adresspfade. So kann die Software selbst entscheiden, wie die Bilder geladen werden und ein nachträgliches Ändern des Pfads, sollte die SSL Verschlüsselung wieder entfernt werden, wird verhindert.

Bei Verlinkungen zu externen Webseiten sollten Sie stets darauf achten, dass das Ziel auch per https aufgerufen werden kann. Überprüfen Sie daher vorab, ob dies möglich ist. Das gilt ebenfalls für die Quellpfade für Bilder, Videos oder Dokumenten von externen Anbietern. Sofern möglich, sollten Sie versuchen, alle medialen Daten auf Ihrem Webspace zu speichern. So werden nicht nur diese Dateien mit verschlüsselt, die Webseite kann auch schneller geladen werden.

Diese Tricks lassen sich auch problemlos auf bereits bestehende Seiten und Beiträge übernehmen. Mithilfe der Seiteninformationen, die Ihnen Ihr Webbrowser anzeigt und einem Editor lassen sich die entsprechenden Stellen mühelos finden und bearbeiten. Hier sind Grundkenntnisse in HTML von großem Vorteil.

Es kann jedoch auch vorkommen, dass Ihre Haupt-URL, also die Adresse Ihrer Webseite, fest im Quellcode des Systems gespeichert ist (man sagt dazu auch „hard gecodet“). Hier ist es notwendig, händisch die entsprechenden Dateien und Datenbank-Einträge zu überprüfen und zu bearbeiten. Dazu sind allerdings fortgeschrittene Kenntnisse in HTML, PHP, MySQL und anderen Skriptsprachen erforderlich, weshalb hierfür am besten Fachleute zu Rate gezogen werden sollten.

Sobald Sie die Änderungen durchgeführt haben, sollten Sie direkt den Browsercache und den Systemcache Ihrer Websoftware leeren. Damit kann die Webseite komplett neu in Ihrem Browser geladen werden und Sie erkennen direkt, ob auch alle unsicheren Inhalte angepasst wurden.