Wieso wird meine Webseite trotz aktives SSL-Zertifikat als nicht sicher angezeigt?
Was ist "Mixed-Content" ?
Sie nutzen ein SSL Zertifikat aber Ihre Website wird als "nicht sicher" angezeigt? Die Ursache dafür ist der sogenannte "Mixed-Content" auf Ihrer Webseite. Das heisst, dass auf Ihrer mit SSL Zertifikat geschützten Webseite Inhalte von Quellen eingebunden sind, welche nicht via https gesichert sind. Dabei kann es sich z.B. um Bilder, CSS-Dateien oder Skripte handeln. Grundlegend wird zwischen zwei Arten von "Mixed-Content" unterschieden.
Haben Sie ein WordPress Hosting, klicken Sie hier
Mixed passiver Content
Webinhalte, welche die Website nicht verändern können und lediglich ausgeliefert werden. Typischerweise sind dies Bilder, Videos oder Audio-Dateien.
Mixed aktiver Content
Webinhalte, welche die Website sowie dessem Inhalte ändern können. Typischerweise sind dies Links, Skripte, iFrames oder CSS-Dateien mit URL Angaben.
Wie Sie den "Mixed-Content" beheben
Mixed-Content beheben Sie, indem Sie sämtliche Pfade, die mit http:// beginnen mit https:// ersetzen. Dies können Sie entweder manuell in einem Editor oder über ein PlugIn im jeweiligen CMS (z.B. Wordpress, Joomla) machen.
Binden Sie sämtliche Inhalte auf Ihrer Webseite über https:// ein und korrigieren Sie allfällige existierende Links welche noch per http:// aufgerufen werden.
Sobald alle Inhalte auf Ihrer Webseite per https:// eingebunden sind, ist der "Mixed-Content" behoben.
Mixed Content identifizieren
Um die Inhalte, welche noch per http:// eingebunden sind zu identifizieren, kann Ihnen der Entwicklermodus des Webbrowsers weiterhelfen. Meist sehen Sie im Entwicklerwerkzeugs unter "Network" in der Spalte "Scheme" oder anhand des angegebenen Pfades, welche Inhalte schon per https und welche noch per http eingebunden sind.
Als Beispiel eine Website mit dem Entwicklertool von Google Chrome analysiert, bei welcher ein einzelnes Bild (.jpg) per http anstatt https eingebunden wurde erzeugte den "Mixed-Content".
Weitere Tipps
Absolute und relative Pfadangaben
Gerade auf älteren statischen Webseiten sehen wir öfters, dass bei der Erstellung für lokale Dateien auf dem Server statische Verweisen mit http angegeben wurden. Stellen Sie diese also auf https um oder verwenden Sie möglichst realtive Verweise. Bei den relativen Verweisen geben Sie nicht den absoluten Pfad an sondern den relativen Pfad vom aktuellen Ort aus.
Als Beispiel
Das Bild befindet sich im gleichen Verzeichnis wie die Website. Aus dem absoluten Pfad 'http://www.meinedomain.ch/blog/beitrag15/einbild.jgp' wird neu der relative Pfad './einbild.jpg' oder kurz 'einbild.jpg'.
Das Bild befindet sich ein Bild im untergeordneten Verzeichnis 'picutres' der Website. Der neue Pfad lautet 'pictures/einbild.jpg'
Das Bild befindet sich in einem übergeorneten Verzeichnes. Der neue Pfad lautet '../einbild.jgp'
Das Bild befindet sich in einem Nebenverzeichnis der Website. Der neue Pfad lautet '../pictures/einbild.jpg'
Dies lässt sich über mehrere Ebenen und Verzeichnisse ausweiten. Wichtig: Mit '..' (zwei Punkten) verweisen Sie immer zu übergeordneten Verzeichnissen. Mit '.' (einem Punkt) verweisen Sie auf das aktuelle Verzeichnis. Wer bereits mit einer Shell gearbeitet hat, dem dürfte das Prinzip bekannt sein.
Wordpress & Co
Webapplikationen wie Wordpress verwenden ebenfalls absolute Pfade. Diese lassen sich via den Wordpresseinstellungen oder Plugins (z.B. Better Search Replace) entsprechend anpassen. Dabei ist jedoch äusserste Vorsicht geboten sonst ist die Website nicht mehr erreichbar.