Erkennen von unsicheren Elementen in einer https-Website – Mixed Content

mixed content ssl website

Um die Lösung für jenes Problem zu beschreiben, muss einmal das Problem erkannt werden. Dabei handelt es sich um eine Fehlermeldung, die vorzugsweise auf modernen Browsern wie Mozilla Firefox oder Google Chrome deutlich sichtbar werden. Speziell bei allen Websites, die persönliche Daten übermitteln (zB Onlineshops, Foren, Chats, überall wo man sich registrieren oder anmelden muss), sollte keine SSL-Warnung von den Browsern ausgegeben werden. Dies sorgt eventuell für Misstrauen und einen Absprung des potenziellen Kunden. Im schlimmsten Fall lässt der Browser den Website-Besuch erst gar nicht zu und unerfahrene User haben gar nicht die Möglichkeit, diese Sicherheitssperre manuell zu umgehen. Speziell auf mobilen Endgeräten hat das für die Website schwerwiegende Folgen.

Das Erkennen einer https-Website mit unsicheren Inhalten

Die Grafik am Beginn dieses Artikels zeigt ein Browser-Fenster des Mozilla Firefox mit einer geöffneten Mixed Content-Test-Website. Diese Test-Seite ist speziell dafür geschaffen, das Problem zu verdeutlichen. Obwohl die URL ein gültiges SSL-Zertifikat (https) vorweist, erscheint eine orangefarbene Warnung am Beginn der Browserleiste. Ein Klick darauf informiert über die Sicherheitslücke. Der Browser hat im Quellcode der Website ein Element (zB eine Grafik, Video, PDF, etc..) gefunden, das nicht sicher ist, also in den meisten Fällen eine http-URL aufweist. Es kann auch sein, dass eine externe eingebundene und grundsätzlich sichere URL nicht mehr sicher ist (Zertifikat abgelaufen).

Nun kann die Suche nach dem unsicheren „Mixed Content“ Element beginnen

Bevor wir nach der unsicheren Quelle suchen, möchte ich kurz auf den Begriff „Mixed Content“ eingehen. Übersetzt heißt das soviel wie „Gemischter Inhalt“. In diesem Zusammenhang ist die Mischung von sicheren (https) und unsicheren (http) Inhalten gemeint. Spätestens jetzt muss allen klar sein, warum https-Websites mit „Mixed Content“ unter Umständen „gefährlich“ sein können.

Suche im Quellcode

Um bei unserem Beispiel der Mixed Content-Test-Website zu bleiben, habe ich mir den Quellcode kurz angesehen und sehr bald Folgendes gefunden:

mixed content

(Info: Dieses Beispiel soll nur verdeutlichen, wo die Fehler zu finden sind)

In diesem Fall ist ein unsicheres Iframe für die Sicherheitswarnung verantwortlich. Würde dieses Snippet nun entfernt werden, wäre die Website wahrscheinlich wieder sicher. Aber ich will auf Nummer sicher gehen und öffne die Website mit Google Chrome. Dieser Browser ist dahingehend unheimlich praktisch, weil er alle „Mixed Content-Fehlerquellen“ auf einen Blick zusammenfasst.

Suche mit Google Chrome: Mixed Content wie Sand am Meer

Gott sei Dank habe ich die Website mit Google Chrome unter die Lupe genommen (bei geöffneter Website rechte Mousetaste + „Untersuchen“ + Reiter: „Console“), denn hier offenbaren sich jede Menge „Mixed Content“-Elemente:

Google Chrome Mixed Content

Nun hat man eindeutige Hinweise für die Fehlerquellen und kann diese lokalisieren und aufarbeiten. Sollten Sie dennoch Probleme damit haben, stehe ich mit Rat und Tat zur Seite. Nehmen Sie einfach Kontakt zu mir auf.

Eine sichere Seite sieht in der Google Chrome Console so aus:

Google Chrome Console