1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Mozilla "Verbindung ist nicht sicher" wie kann ich diese Webseite korrekt machen?

Dieses Thema im Forum "Internetkommunikation" wurde erstellt von elfi812, 3. Januar 2018.

  1. elfi812

    elfi812 Mitglied

    Bei meiner Webseite zeigt Mozilla "diese Verbindung ist nicht sicher" und am grauen Schloss ein gelbes Dreieck mit Ausrufezeichen.
    Wie kann ich das wegbekommen? Was muss ich auf der Webseite machen?

    Kann ich mir irgendwo anzeigen lassen, was da genau blockiert wird? Ich finde keine Anzeigemöglichkeit.

    Info am Rande: Die Webseite läuft als "https"...ich dachte das würde sie doch eigentlich sicherer machen und solche Blockieraktionen eher beheben als begünstigen?!
     
  2. ComFreek

    ComFreek Mod | @comfreek Moderator

    Hast du mal aufs Schloss geklickt? Wird da etwas Genaueres angezeigt? Wahrscheinlich ist irgendetwas falsch konfiguriert.
    Ansonsten kannst du mal deine Seite mit folgendem Tool testen: https://www.ssllabs.com/ssltest/
     
  3. DerKleene1

    DerKleene1 Mitglied

    Hallo,

    hast Du denn auch ein gültiges Zertifikat installiert.
    Gibt genug Anbieter im Netz. Evtl. sogar dort, wo Du deinen Webspace hast.
    Ich habe auf meinen Server eins von https://letsencrypt.org/ genommen, was kostenlos ist.
     
  4. Sprint

    Sprint Erfahrenes Mitglied

    Wenn du ein gültiges Zertifikat installiert hast, deutet sowas meistens auf eine http Verbindung hin, die sich beim Importieren von externen Skripten verstecken. Laß deinen Editor mal die komplette Seite nach http: suchen. Fast immer kannst du das gegen https: ersetzen und dann sollte es klappen.
     
  5. elfi812

    elfi812 Mitglied

    Ich meine schon dass das Zertifikat gültig ist. Ich habe jetzt doch beim Schloss mehr Infos gefunden.
    Interessanterweise haben manche Unterseiten ein grünes Schloss und manches das oben genannte mit Warnhinweis.

    Beim Klick aufs Schloss sind alle angezeigten Angaben nahezu gleich, nur bei zwei Stellen werden verschiedene Dinge gezeigt:
    • "Unterseite 1"
      • Website-Identität
        • validiert von: nicht angegeben
      • Technische Details
        • Verbindung teilweise verschlüsselt
    • "Unterseite 2"
      • Website-Identität
        • validiert von: Symantec Corporation
        • Gültig bis: Montag, 30. April 2018
      • Technische Details
        • Verbindung verschlüsselt (TLS_...(gekürz von mir)..., TLS 1.2)
    Bei einer zeigt es also als "validiert" an und "komplett verschlüsselt" und bei der anderen "ohne Validierung" und "nur teilweise verschlüsselt". Dabei ist es ein und dieselbe Domain nur verschiedene Unterseiten (die sich auch noch ziemlich ähneln).

    Beim Schloss steht auch Grafiken können blockiert sein, aber welche Grafiken das sein sollen, das finde ich nicht angezeigt.
     
  6. sheel

    sheel I love Asm Administrator

    Wie schon von Sprint angedeutet ist da also irgendwas über eine nicht-sichere Verbindung eingebunden. Egal ob von deinem Server oder woanders, HTTP oder falsch eingestelltes Https, Bilder oder Scripte oder..., ... die Meldung ist an der Stelle leider nicht wirklich detailliert. Daher: Suchen. mit den Entwicklertools oder direkt im Quelltext.
     
  7. elfi812

    elfi812 Mitglied

    Ok, also es waren nur ein paar Bilder die über CSS mit "http" statt "https" geladen wurden.

    Jetzt ist es sicher, nur "informative Warnungen" werden gezeigt, die sind nicht so wichtig...aber ich hab da rausgefunden, dass dies an Google-Fonts liegt die per <link> geladen werden.
    Das holt die von folgender Quelle: "href='https://fonts.googleapis.com/css?family=Lobster:1,300,400,400italic,500,700,900&#038;ver=4.8.4' "

    Das macht mein Webtemplate von selbst und läd da verschiedene Styles mit rein.

    Warum wird das als Sicherheitsrisiko bemängelt? Kann man das irgendwie auch noch sicher machen?
    (Ich dachte erst, dort den direkten Link einfach rausnehmen und in die CSS tun, aber das geht bei meinem Template nicht so einfach und wird da wahrscheinlich ohnehin genauso ausgelesen?!)
     
  8. sheel

    sheel I love Asm Administrator

    Sicher, dass die Fonts schuld sind, und dass es nur "teilweise" Verschlüsselung ist (nicht ein anderes Problem)? (weil deine werden über Https eingebunden)

    Jedenfalls, wenn etwas über HTTP übertragen wird kann das immer von Angreifern geändert werden, bevor es auf deinem Computer ankommt. Was die Bilder angeht, es werden immer wieder neue Wege gefunden, wie man durch bestimmte Bilddateien Schaden im Browser anrichten kann. Und für die Schriften ... es gibt zwar wenig wirkliche Beispiele (bisher), aber beim Fontrendering bei gängigen OS wurden ursprünglich nirgends auf Sicherheit geachtet. Wer kommt schon auf die Idee, Schriften übers Internet nachzuladen - ursprünglich waren alle verfügbaren Schriften lokal vom Admin installiert.

    Versteh ich grad leider nicht?
     
    Zuletzt bearbeitet: 4. Januar 2018
  9. Sprint

    Sprint Erfahrenes Mitglied

    Nachgeladene Google Fonts können eigentlich nicht das Problem sein. Ich verwende die auch auf meinen Seiten und von da kamen noch nie Warnungen.
     
  10. elfi812

    elfi812 Mitglied

    Wenn ich über <link> eine "unsichere" Verbindung aufrufe wird sie auch als unsicher eingestuft, wenn ich sie in einer CSS-Datei aufrufe. (Informative Warnungen, da zeigt es "Sicherheitsrisiken" an, aber es setzt die ganze Seite nicht gleich auf "unsicher")

    Ich probier nochmal ein bisschen ;)
    Vielen Dank erstmal für die Hilfe!
     
Die Seite wird geladen...