✔ Mozilla "Verbindung ist nicht sicher" wie kann ich diese Webseite korrekt machen?

mediamat · 3. Januar 2018

Bei meiner Webseite zeigt Mozilla "diese Verbindung ist nicht sicher" und am grauen Schloss ein gelbes Dreieck mit Ausrufezeichen.
Wie kann ich das wegbekommen? Was muss ich auf der Webseite machen?

Kann ich mir irgendwo anzeigen lassen, was da genau blockiert wird? Ich finde keine Anzeigemöglichkeit.

Info am Rande: Die Webseite läuft als "https"...ich dachte das würde sie doch eigentlich sicherer machen und solche Blockieraktionen eher beheben als begünstigen?!

ComFreek · 3. Januar 2018

Hast du mal aufs Schloss geklickt? Wird da etwas Genaueres angezeigt? Wahrscheinlich ist irgendetwas falsch konfiguriert.
Ansonsten kannst du mal deine Seite mit folgendem Tool testen: https://www.ssllabs.com/ssltest/

DerKleene1 · 3. Januar 2018

Hallo,

hast Du denn auch ein gültiges Zertifikat installiert.
Gibt genug Anbieter im Netz. Evtl. sogar dort, wo Du deinen Webspace hast.
Ich habe auf meinen Server eins von https://letsencrypt.org/ genommen, was kostenlos ist.

Sprint · 3. Januar 2018

Wenn du ein gültiges Zertifikat installiert hast, deutet sowas meistens auf eine http Verbindung hin, die sich beim Importieren von externen Skripten verstecken. Laß deinen Editor mal die komplette Seite nach http: suchen. Fast immer kannst du das gegen https: ersetzen und dann sollte es klappen.

mediamat · 3. Januar 2018

Ich meine schon dass das Zertifikat gültig ist. Ich habe jetzt doch beim Schloss mehr Infos gefunden.
Interessanterweise haben manche Unterseiten ein grünes Schloss und manches das oben genannte mit Warnhinweis.

Beim Klick aufs Schloss sind alle angezeigten Angaben nahezu gleich, nur bei zwei Stellen werden verschiedene Dinge gezeigt:

"Unterseite 1"
- Website-Identität
  - validiert von: nicht angegeben
- Technische Details
  - Verbindung teilweise verschlüsselt
"Unterseite 2"
- Website-Identität
  - validiert von: Symantec Corporation
  - Gültig bis: Montag, 30. April 2018
- Technische Details
  - Verbindung verschlüsselt (TLS_...(gekürz von mir)..., TLS 1.2)

Bei einer zeigt es also als "validiert" an und "komplett verschlüsselt" und bei der anderen "ohne Validierung" und "nur teilweise verschlüsselt". Dabei ist es ein und dieselbe Domain nur verschiedene Unterseiten (die sich auch noch ziemlich ähneln).

Beim Schloss steht auch Grafiken können blockiert sein, aber welche Grafiken das sein sollen, das finde ich nicht angezeigt.

sheel · 3. Januar 2018

Wie schon von Sprint angedeutet ist da also irgendwas über eine nicht-sichere Verbindung eingebunden. Egal ob von deinem Server oder woanders, HTTP oder falsch eingestelltes Https, Bilder oder Scripte oder..., ... die Meldung ist an der Stelle leider nicht wirklich detailliert. Daher: Suchen. mit den Entwicklertools oder direkt im Quelltext.

mediamat · 4. Januar 2018

Ok, also es waren nur ein paar Bilder die über CSS mit "http" statt "https" geladen wurden.

Jetzt ist es sicher, nur "informative Warnungen" werden gezeigt, die sind nicht so wichtig...aber ich hab da rausgefunden, dass dies an Google-Fonts liegt die per <link> geladen werden.
Das holt die von folgender Quelle: "href='https://fonts.googleapis.com/css?family=Lobster:1,300,400,400italic,500,700,900&ver=4.8.4' "

Das macht mein Webtemplate von selbst und läd da verschiedene Styles mit rein.

Warum wird das als Sicherheitsrisiko bemängelt? Kann man das irgendwie auch noch sicher machen?
(Ich dachte erst, dort den direkten Link einfach rausnehmen und in die CSS tun, aber das geht bei meinem Template nicht so einfach und wird da wahrscheinlich ohnehin genauso ausgelesen?!)

sheel · 4. Januar 2018

elfi812 hat gesagt.:
Warum wird das als Sicherheitsrisiko bemängelt? Kann man das irgendwie auch noch sicher machen?

Sicher, dass die Fonts schuld sind, und dass es nur "teilweise" Verschlüsselung ist (nicht ein anderes Problem)? (weil deine werden über Https eingebunden)

Jedenfalls, wenn etwas über HTTP übertragen wird kann das immer von Angreifern geändert werden, bevor es auf deinem Computer ankommt. Was die Bilder angeht, es werden immer wieder neue Wege gefunden, wie man durch bestimmte Bilddateien Schaden im Browser anrichten kann. Und für die Schriften ... es gibt zwar wenig wirkliche Beispiele (bisher), aber beim Fontrendering bei gängigen OS wurden ursprünglich nirgends auf Sicherheit geachtet. Wer kommt schon auf die Idee, Schriften übers Internet nachzuladen - ursprünglich waren alle verfügbaren Schriften lokal vom Admin installiert.

elfi812 hat gesagt.:
Jetzt ist es sicher, nur "informative Warnungen" werden gezeigt, die sind nicht so wichtig

elfi812 hat gesagt.:
und wird da wahrscheinlich ohnehin genauso ausgelesen

Versteh ich grad leider nicht?

Sprint · 4. Januar 2018

Nachgeladene Google Fonts können eigentlich nicht das Problem sein. Ich verwende die auch auf meinen Seiten und von da kamen noch nie Warnungen.

mediamat · 5. Januar 2018

und wird da wahrscheinlich ohnehin genauso ausgelesen

Wenn ich über <link> eine "unsichere" Verbindung aufrufe wird sie auch als unsicher eingestuft, wenn ich sie in einer CSS-Datei aufrufe. (Informative Warnungen, da zeigt es "Sicherheitsrisiken" an, aber es setzt die ganze Seite nicht gleich auf "unsicher")

Nachgeladene Google Fonts können eigentlich nicht das Problem sein. Ich verwende die auch auf meinen Seiten und von da kamen noch nie Warnungen.

Ich probier nochmal ein bisschen ;-)
Vielen Dank erstmal für die Hilfe!

✔ Mozilla "Verbindung ist nicht sicher" wie kann ich diese Webseite korrekt machen?

mediamat

Erfahrenes Mitglied

ComFreek

Mod | @comfreek

DerKleene1

Mitglied

Sprint

Erfahrenes Mitglied

mediamat

Erfahrenes Mitglied

sheel

I love Asm

mediamat

Erfahrenes Mitglied

sheel

I love Asm

Sprint

Erfahrenes Mitglied

mediamat

Erfahrenes Mitglied

Neue Beiträge