Chrome blockiert Mixed Content auf Deiner Website


Mixed Content, also das Verwenden unverschlüsselter Inhalte auf verschlüsselten Webseiten wird bald von Chrome vollständig blockiert. Dies teilte Google Anfang Oktober auf dem Chromium Blog mit. In diesem Artikel erfährst, Du, was es mit Mixed Content auf sich hat, wer betroffen ist, welche Zwischenschritte es bei der Umstellung gibt und was Du auf Deiner eigenen Website tun kannst.


Was ändert sich?

Für Chrome-User gibt es ab Dezember 2019 einige Änderungen, die sich auf den Einsatz von Mixed Content beziehen. Genauer gesagt wird Chrome in Zukunft alle HTTP-Verknüpfungen verändern, die auf Deiner Website eingebunden sind, z.B. Bilder, Videos oder Audiofiles von anderen Websites. Da HTTP-Inhalte ein Sicherheitsproblem darstellen, werden diese Inhalte beim Besuchen der Website automatisch auf HTTPS-Inhalte umgestellt. Das klingt erstmal ganz gut, kann jedoch im schlimmsten Fall dazu führen, dass einzelne Inhalte Deiner Website nicht mehr angezeigt werden, da sie ggf. nicht auf HTTPS verfügbar sind.

In diesem Artikel zeigen wir Dir, was es mit Mixed Content auf sich hat, welche Zwischenschritte es bei der Umstellung gibt und was Du auf Deiner eigenen Website tun kannst.

Was sind SSL und Mixed Content?

Vielleicht hast Du schon das ein oder andere mal die Ausdrücke “SSL” oder “SSL-Zertifikat” gehört. SSL steht für Secure-Sockets-Layer – eine Protokolldatei zur Verschlüsselung von Webinhalten. Streng genommen handelt es sich bei den heutigen Websitezertifikaten um TLS-Zertifikate (Transport Layer Security), im allgemeinen Volksmund spricht man jedoch noch immer von SSL – der Einfachheit halber bleibe ich auch mal dabei. 🙂

Bei SSL (TLS) handelt es sich um ein digitales Zertifikat, das die Daten zwischen Browser und Server verschlüsselt, sodass sie vor Dritten geschützt werden und somit nicht so leicht missbraucht werden können. Besonders wichtig ist das Ganze vor Allem in den Bereichen, in denen sensible Daten zwischen Client und Server versendet werden, z.B. Zahlungsinformationen oder persönliche Daten beim Einkauf in einem Onlineshop. Aber auch bei einfachen Webseiten können ohne Zertifikat Inhalte abgefangen, ausgewertet oder sogar manipuliert werden. So ein Zertifikat hat leider nicht jede Website, sodass es im Internet Seiten gibt, die unsicherer sind als andere.

Mixed Content kommt dann ins Spiel, wenn eine Website zwar ein SSL-Zertifikat besitzt, jedoch teilweise auf Inhalte von anderen Webseiten zugreift, die kein SSL-Zertifikat besitzen. Beispielsweise in einem Blog kann das schnell passieren, wenn man ein Bild oder Video von einem anderen Blog oder einer bestimmten Website in einen Artikel einbaut, ohne dass diese Inhalte auf dem eigenen Server liegen. 

Aktuell weisen die gängigen Browser zwar darauf hin, wenn Mixed Content vorliegt, es werden meist jedoch nur besonders kritische Inhalte wie etwa Skripte oder iFrames blockiert. Dies soll sich nun bei Chrome ändern, sodass in naher Zukunft Bilder, Videos und Audio betroffen sind.


Wie geht es weiter?

Laut Chromium Blog soll die Umstellung über drei Versionen verteilt werden. Los geht es im Dezember mit dem Launch von Chrome 79, bei dem eine neue Funktion implementiert wird, die es erlaubt, geblockte Inhalte manuell zu entsperren. Wenn beispielsweise auf Skripte von HTTP-Quellen zugegriffen werden soll, wird dies – wie bisher auch – automatisch geblockt, der User kann anschließend jedoch den Inhalt manuell zulassen. Bei dieser Version dürfte sich also im Vergleich zu den bisherigen Versionen nichts auf eurer Website ändern, da die gleichen Inhalte wie bisher geblockt werden.

Im Januar 2020 soll dann Chrome 80, bei der alle Video- und Audioinhalte mit HTTP-Verlinkung automatisch auf HTTPS umgestellt werden. Sollte die verlinkte Quelle inzwischen auf SSL umgestellt haben, funktioniert die Verknüpfung auch weiterhin und der Inhalt wird wie gewohnt dargestellt. Unterstützt die verlinkte Seite kein SSL kommt es zum Worst Case: Der Inhalt wird blockiert und nicht mehr auf Deiner Seite verfügbar.

Ab Chrome 81, das im Februar 2020 gelauncht wird, gilt das Blocking dann schließlich auch für Bilder!

Wie erkenne ich, dass ich Mixed Content auf meiner Website habe?

In Chrome gibt Dir das Symbol links neben der URL eine Info über die Sicherheit der gerade aufgerufenen Website. Siehst Du dort ein kleines Schloss, ist das ein Hinweis darauf, dass auf Deiner Seite alles in Ordnung ist, zumindest dass Du ein aktives Zertifikat für Deine eigene Seite hast und dass kein Mixed Content vorhanden ist.

Wichtig:
Das Symbol bezieht sich immer nur auf die aktuell aufgerufene Unterseite. Es kann also sein, dass Du ein Schloss siehst, aber trotzdem auf einer oder mehreren Unterseiten Mixed Content zu finden ist. Schau Dir also im Zweifel alle Unterseiten einmal an und prüfe das Icon neben der URL.

Solltest Du ein Ausrufungszeichen oder gar ein Warndreieck sehen, kann die Sicherheit nur teilweise oder gar nicht garantiert werden und Du solltest möglichst nach der Ursache schauen.

Was kann ich tun?

Öffne alle Unterseiten und Beiträge Deiner Website und prüfe das Logo neben der URL. Ist auf allen Unterseiten und Beiträgen das Schloss zu sehen, sieht es so aus, als wäre Deine Seite sicher und als würde sie auch weiterhin von Chrome korrekt angezeigt werden.

Solltest Du ein Ausrufezeichen oder den Hinweis “Nicht sicher” sehen, solltest Du zunächst prüfen, ob Du auf Deiner Website ein SSL-Zertifikat eingebaut hast. Wenn Du nicht weißt, wie das funktioniert, sprich am Besten mit Deinem Hosting-Anbieter oder Webmaster über das Thema. Gerne kannst Du auch direkt mit uns Kontakt aufnehmen und wir übernehmen das Einbinden eines Zertifikats für Dich.

Wenn Deine Website bereits ein Zertifikat besitzt, Du aber trotzdem ein Ausrufezeichen siehst, kann das ein Hinweis auf Mixed Content sein. Schaue Dir dazu an, welche Inhalte auf Deiner Seite von fremden Webseiten stammen (z.B. Bilder in Deinem Blog). Check alle Bilder und prüfe, welche URLs bei Verlinkung und Einbindung verwendet wurden. Solltest Du dort ein oder mehrere Inhalte mit einer http:// am Anfang finden, sind dies vermutlich die Übeltäter. Prüfe die Quellen und schau Dir an, ob diese Seiten ggf. inzwischen auf SSL umgestellt haben, also ein https:// zu Beginn stehen haben. Falls ja, aktualisiere die entsprechenden Verknüpfungen auf Deiner Seite und ändere sie in https:// um. Dies passiert ab Chrome 80/81 im Prinzip auch im Hintergrund automatisch, es könnte trotzdem sein, dass Deine Seite durch die HTTP-Verknüpfungen weiterhin als unsicher eingestuft wird. Dies kann sich sowohl auf die User Experience Deiner Besucher als auch auf Dein Suchmaschinenranking auswirken. Du solltest daher möglichst schon präventiv vorgehen und das Thema frühzeitig bearbeiten.
Solltest Du Inhalte nutzen, die unter https:// nicht geladen werden können, dürften diese je nach Inhalt spätestens von Chrome 81 blockiert werden, was in jedem Fall zu vermeiden ist. Schaue also, ob Du diese Inhalte zwingend benötigst, sie ggf. selbst hosten kannst (Achtung: Datenschutz beachten!) oder sie von Deiner Seite entfernen kannst.

Fazit

Unabhängig davon, ob Du aktiv wirst oder nicht, solltest Du Deine Website gerade nach den nächsten Chrome-Releases bis März 2020 im Auge behalten und auf der jeweils neuesten Version besuchen, um mögliche Auswirkungen zu registrieren. Auch wenn nicht jeder Deiner Besucher immer die neueste Chrome-Version oder überhaupt Chrome nutzt, so solltest Du sicherstellen, dass Deine Website mit dem aktuellen Stand der Technik mithalten kann. Wann andere Browser auf ähnliche Verfahren umstellen, ist vermutlich nur eine Frage der Zeit – das Thema betrifft somit langfristig nicht nur Chrome-Nutzer.

Wenn Du Dir unsicher bist oder wir Dich bei der Prüfung Deiner Website unterstützen können, stehen wir Dir gerne zur Verfügung. Schreib uns dazu einfach eine Nachricht oder ruf uns an!

Über den Autor


Mattis Schaeffer

Webdesigner @ Refining Arts

Mattis ist Mitgründer von Refining Arts und seit 2015 als Webdesigner und Medienproduzent tätig. Seine Schwerpunkte liegen vor Allem in den Bereichen Front-End-Entwicklung mit HTML5, CSS3 und JavaScript sowie der Realisierung von Projekten in WordPress. Neben dem Webdesign ist er bei Refining Arts auch für den redaktionellen Teil sowie die tontechnische Umsetzung der Filmprojekte zuständig.

Über Mattis

Das könnte Dich auch interessieren…

Artikel

Seiten


Tags


Über uns

Refining Arts ist Dienstleister in den Bereichen Webdesign und Videoproduktion. Das Unternehmen wurde 2016 in Köln von den beiden Medienschaffenden Timo Semmler und Mattis Schaeffer gegründet.

Mehr erfahren…

Feedback oder Fragen?

Wir freuen uns, von Dir zu hören! Nutze am Besten unsere Kontaktseite oder schreib uns in den sozialen Netzwerken.

Kontakt