Warum wird meine Website trotz SSL-Zertifikat als unsicher angezeigt?
Durch die Implementierung eines SSL-Zertifikats verschlüsseln Sie die Verbindung zu Ihrer Webseite und signalisieren den Besuchern, dass sie sicher ist. Zusätzlich hat das Vorhandensein eines SSL-Zertifikats einen signifikanten Einfluss auf das Ranking von Webseiten in Suchmaschinen.
Mehr Informationen über die unterschiedlichen Zertifikat-Typen und SSL-Tarife bei STRATO finden Sie auf der folgenden Seite:
https://www.strato.de/hosting/wordpress-hosting/ssl-zertifikat-kaufen/
In diesem Artikel erläutern wir, warum eine Website trotz Verwendung eines SSL-Zertifikats möglicherweise vom Browser als "unsicher" eingestuft wird und welche Maßnahmen Sie ergreifen können, um diese Situation zu verbessern.
Verwenden Sie eine spezifische DNS-Konfiguration, wie einen NameServer-Eintrag (NS-Record), ruft die Domain automatisch vordefinierte Einstellungen von einem anderen Server ab. Wenn Sie jedoch stattdessen das STRATO-Zertifikat nutzen möchten, können Sie Ihre DNS-Konfiguration über Ihren Kunden-Login anpassen: → Welche DNS-Einträge gibt es bei STRATO und wie kann ich diese verwalten? Sie haben die Möglichkeit, die bestehenden Einstellungen zurückzusetzen und neue vorzunehmen. Bitte beachten Sie, dass diese Einstellungen wahrscheinlich nicht ohne Grund gesetzt wurden und sich auf den Betrieb Ihrer Website und/oder anderer Dienste auswirken können. Wird Ihre Website nach Aktivierung, Zuweisung und evt. Erzwingen des SSL-Zertifikats im Webbrowser immer noch als "nicht sicher" ausgewiesen, dann verwenden Sie vermutlich gemischte Webseiteninhalte ("Mixed Content"). Das heißt, Sie haben Inhalte von Quellen eingebunden, die nicht via https gesichert sind. Dabei kann es sich um passiven Content, wie Bilder, Audio, Video-Dateien handeln oder um aktiven Content, der die Website beeinflusst, z.B. Links, CSS-Dateien, Skripte und sonstige Inhalte von anderen Quellen. Theoretisch handelt es sich bei der HTTP- und der HTTPS-Variante um zwei unterschiedliche Websites. Um die noch über http:// eingebundenen Inhalte zu identifizieren, können Sie bspw. via Rechtklick in Ihrer Website "Seitenquelltext anzeigen" wählen und mittels Tastenkombination STRG+F5 nach "http" suchen. Auch der Entwicklermodus des Webbrowsers (meist via F12-Taste) kann hierbei behilflich sein. Oftmals können Sie im Entwicklerwerkzeug unter dem Abschnitt "Network/Netzwerk" anhand der Angaben in der Spalte "Scheme" oder des angegebenen Pfades feststellen, welche Inhalte noch den http:// Pfad verwenden. Auch mittels des Online-Tools Why No Padlock können Sie prüfen, welche Inhalte betroffen sind. Mixed-Content beheben Sie, indem Sie sämtliche Pfade, die mit http:// beginnen mit https:// ersetzen. Für lokale Datei-Verknüpfungen verwenden Sie am besten relative Verweise ("/datei.jpg" anstelle von "http://www.domain.de/ordner/bild.jpg"). Diese Anpassungen können entweder manuell in einem Editor (z.B. Notepad++) vorgenommen oder mithilfe eines Plugins im jeweiligen CMS (z.B. Wordpress, Joomla & Co.) durchgeführt werden. Das Problem des "Mixed-Content" ist behoben, sobald alle Inhalte auf Ihrer Website über https:// eingebunden sind. Eine vollständig verschlüsselte Auslieferung aller Website-Inhalte über HTTPS erkennen Sie in der Adresszeile des Browsers am grünen Schloss. Öffnen Sie den Admin-Bereich Ihres WordPress und begeben Sie sich zu Einstellungen > Allgemein. Dort ergänzen Sie in den Feldern WordPress-Adresse (URL) und Website-Adresse (URL) einfach das "s" an http. Speichern Sie die Änderung ab. Dazu passen Sie in der .htaccess-Datei im Stammverzeichnis die Weiterleitung folgendermaßen an: Alternativer Weg mit Prüfung, ob HTTPS verwendet wurde: Bei Verwaltung mehrerer Websites mit einer Installation (WordPress Multisite): Die Weiterleitung greift sofort und bringt alle Besucher auf die https-Seite. Wenn Ihr Browser weiterhin Mixed-Content-Warnungen anzeigt, könnte dies an Bildern, iFrame-Inhalten, CSS und JavaScript-Dateien von externen Seiten liegen, die nicht über HTTPS bereitgestellt werden. Um dieses Problem zu lösen, sollten Sie die betroffenen Inhalte von Ihrer Website entfernen.Ich kann mein Zertifikat nicht verwenden - woran liegt das?
Warum wird meine Website immer noch als unsicher angezeigt?
Mixed Content identifizieren
Mixed Content behandeln
Aktivieren von SSL (HTTPS) in WordPress
Webanwendungen wie WordPress verwenden auch absolute Pfadangaben, welche mithilfe der Einstellungen von WordPress oder durch Plugins (z.B. Better Search Replace) angepasst werden können.
Aktivieren von SSL (HTTPS) in Joomla!
Öffnen Sie den Admin-Bereich Ihrer Joomla-Anwendung und steuern Sie die Konfigurationseinstellungen an (System » Konfiguration). Unter dem Reiter "Server" stellen Sie die Option "HTTPS erzwingen" auf "Gesamte Website" um. Klicken Sie abschließend auf Speichern & Schließen. Nach dieser Einstellung wird Ihre Website durch das SSL-Zertifikat geschützt.
Einrichten einer automatischen Weiterleitung
Wenn SSL aktiviert ist, empfiehlt es sich, Weiterleitungen für alle Links einzurichten. Mit diesem permanenten 301-Redirect, der bspw. von http://www.meine-website.de auf https://www.meine-website.de verweist, werden alle bereits bei Google gerankten http:// Links auf die https:// Version weitergeleitet.RewriteEngine OnRewriteCond %{SERVER_PORT} !=443RewriteRule ^(.*)$ https://www.meine-website.de/$1 [R=301,L]RewriteCond %{HTTPS} !=on ODER RewriteCond %{HTTPS} offRewriteCond %{HTTP_HOST} www\.domain\.de [NC]RewriteRule ^(.*)$ https://www.meine-website.de%{REQUEST_URI} [R=301,L]RewriteEngine OnRewriteCond %{SERVER_PORT} !=443RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [NE,L,R=301]
Anpassungen in Webmaster-Tools und Google Analytics vornehmen
Nach der Umstellung auf HTTPS ist es wichtig, die HTTPS-Version auch in den Webmaster-Tools anzumelden, um die Suchergebnisse auf die neuen Links zu aktualisieren.
Weiterführende FAQ-Artikel:
- So nutzen Sie STRATO SSL
- Domainumleitung per Redirect 301
- Rewrite-Engine (mod_rewrite) für PHP-Skripte verwenden War dieser Text hilfreich für Sie?