Verbindung sicher? Das verraten die drei beliebtesten Browser

Websites, die verschlüsselte Verbindungen per HTTPS unterstützen, gehören noch lange nicht zum Standard. Dies lag lange Zeit daran, dass SSL-Zertifikate meist nur kostenpflichtig erhältlich waren. Dank Let’s Encrypt hat sich das geändert.

Verschlüsselung ist aber eben auch alles andere als trivial und nützliche Informationen zur Verbindung werden nicht von allen Browsern geliefert. Wir zeigen heute, welche Informationen die drei beliebtesten Browser zu verschlüsselten Websites anzeigen und was Sie daraus lesen können.

Google Chrome

Google Chrome bietet in seinen Entwickler-Tools (Ansicht > Entwickler > Entwickler-Tools) eine eigene Rubrik «Sicherheit» in der alle relevanten Informationen angezeigt werden. Die Option erreichen Sie auch, wenn Sie auf das Schlossymbol in der Adresszeile klicken und dann die Option «Details» wählen.

Im Idealfall präsentiert sich die Rubrik «Sicherheit» komplett in grün:

Chrome hat keine Probleme mit der verschlüsselten Verbindung festgestellt.

Chrome hat keine Probleme mit der verschlüsselten Verbindung festgestellt.

  1. Das Zertifikat ist gültig
  2. Die Verbindung ist mit einer starken Protokoll-Version und sicheren Cipher-Suites gesichert
  3. Alle externen Ressourcen sind ebenfalls über eine sichere Verbindung eingebunden

Damit wissen Sie, die Verbindung zur aufgerufenen Website ist mit einem gültigen Zertifikat verschlüsselt und es kommen moderne Protokolle und Verschlüsselungsmethoden zum Einsatz. Ausserdem werden auch externe Inhalte über sichere Verbindungen geladen.

Und so präsentiert sich die Ansicht bei Problemen:

Die angezeigte Website enthält Mixed Content.

Die angezeigte Website enthält Mixed Content.

  1. Das Zertifikat ist gültig
  2. Die Verbindung ist mit einer starken Protokoll-Version und sicheren Cipher-Suites gesichert
  3. Die Seite enthält eine Quelle, die über HTTP geladen und damit über eine unverschlüsselte Verbindung übertragen wird.

Die Seite enthält sogenannten «Mixed Content». Da es sich lediglich um ein Bild handelt, wird der Inhalt trotzdem angezeigt. In der Adresszeile ist jedoch kein grünes Schloss zu sehen.

Mit einem Klick zeigt Chrome Details zu den Inhalten, die Probleme verursachen.

Mit einem Klick zeigt Chrome Details zu den Inhalten, die Probleme verursachen.

Tipp: Lassen Sie Chrome unsichere Verbindungen speziell kennzeichnen. Die Option «Mark non-secure origins as non-secure» unter chrome://flags markiert unsichere Verbindungen mit einem durchgestrichenen Schloss-Symbol in der Adresszeile.

Firefox

Gegenüber Chrome sind die Informationen zur Verschlüsselung in Firefox nicht ganz so ausführlich. Die gesuchten Informationen lassen sich jedoch mühelos mit einem Klick auf das Schloss-Symbol und danach auf das Pfeil-Symbol anzeigen.

Ist mit der verschlüsselten Verbindung alles in Ordnung, meldet Firefox, dass die Verbindung sicher ist. Ausserdem wird angezeigt, durch welche Zertifizierungsstelle (Certification Authority) das SSL-Zertifikat ausgestellt ist. Mit einem weiteren Klick auf «Mehr Informationen» lassen sich Details zum Zertifikat, dem verwendeten Protokoll und den Cipher-Suite einsehen.

Firefox meldet keine Probleme mit der verschlüsselten Verbindung.

Firefox meldet keine Probleme mit der verschlüsselten Verbindung.

Bestehen Probleme mit der Verbindung, ist das Schloss in der Adresszeile ausgegraut und mit einem gelben Achtung-Symbol versehen. Ein Klick auf das Schlossymbol fördert eine kurze Beschreibung zur Ursache des Problems zu Tage. Ein direkter Verweis auf die Quelle des Problems fehlt zwar, ein Klick auf «Weitere Informationen» führt jedoch jedoch auf einen Support-Artikel der beschreibt, wie sich solche Inhalte blockieren lassen.

Firefox meldet Inhalte, die über eine unverschlüsselte Verbindung eingebunden sind.

Firefox meldet Inhalte, die über eine unverschlüsselte Verbindung eingebunden sind.

Safari

Im Vergleich zu Firefox und Chrome sind die Informationen zur HTTPS-Verbindung in Safari sehr bescheiden. Wird bei einer funktionierenden verschlüsselten Verbindung noch das Schloss-Symbol angezeigt, fehlt bei einer teilweise verschlüsselten Verbindung jeglicher visueller Hinweis.

Safari meldet keine Probleme mit der Verschlüsselung und zeigt bei Bedarf Genaueres zum SSL-Zertifikat.

Safari meldet keine Probleme mit der Verschlüsselung und zeigt bei Bedarf Genaueres zum SSL-Zertifikat.

Will man sich ein genaueres Bild verschaffen, bleibt nur der Weg über die Konsole in den Entwickler-Tools (Entwickeln > Web-Inspektor anzeigen). Sie verrät, dass unsichere Elemente geladen wurden.

Eine visuelle Warnung, dass unsichere Inhalte geladen wurden, erscheint erst nach einem Klick in die Adresszeile.

Eine visuelle Warnung, dass unsichere Inhalte geladen wurden, fehlt.

Chrome und Firefox vorbildlich

Der Vergleich zeigt: In Google Chrome sind die Informationen zu verschlüsselten Verbindungen am einfachsten zu finden. Ausserdem helfen Verknüpfungen zu den Elementen, welche Probleme verursachen, die Fehlerquelle zu eliminieren. In Firefox sind die Informationen nicht ganz so ausführlich und etwas umständlicher zu finden. Safari macht es einem regelrecht schwer, die gewünschten Informationen zu finden. Wer gerne weiss, wie es um die Sicherheit der Verbindung zu einer Website steht, dem sei darum der Einsatz von Chrome oder Firefox empfohlen.

Möchten Sie wissen, wie Ihr Browser bei problematischen SSL-Verbindungen reagiert? Unter badssl.com lassen sich alle möglichen Szenarien simulieren.

WordPress umziehen: Dank WP-CLI schnell und unkompliziert

WordPress treibt nicht nur über 25% aller Websites dieser Welt an, sondern ist auch bei unseren Kunden das mit Abstand beliebteste Content-Management-System (CMS). Wir zeigen Ihnen, wie Sie mit Ihrer WordPress-Website auf ein anderes Webhosting umziehen, ohne dass dabei Daten verloren gehen. WP-CLI macht’s möglich.

Mit WP-CLI ist der Umzug einer WordPress-Website schnell erledigt.

Mit WP-CLI ist der Umzug einer WordPress-Website schnell erledigt.

WP-CLI steht für «WordPress Command Line Interface». Mit dem Open-Source-Tool lässt sich eine WordPress-Installation komplett über die Kommandozeile verwalten. In unserem Artikel WP-CLI: WordPress einfach auf der Kommandozeile verwalten erklären wir, wie Sie WP-CLI auf Ihrem Webhosting installieren.

Mit einer kompletten WordPress-Installation umziehen

Der Umzug einer kompletten WordPress-Website besteht aus den folgenden drei Schritten:
1. Datenbank exportieren
2. Daten transferieren
3. Installation am neuen Ort konfigurieren

Ist sowohl auf den alten wie auch auf den neuen Server Zugriff per SSH möglich und jeweils WP-CLI installiert, kann’s losgehen. Wir gehen davon aus, dass die Website am neuen Ort unter der gleichen Domain wie vorher erreichbar sein soll.

1. Datenbank exportieren

Als Erstes exportieren wir die Datenbank auf dem alten Server. Wir verbinden uns dazu per SSH zum alten Server und wechseln ins Verzeichnis, in dem sich die WordPress-Installation befindet. Mit dem Befehl wp db export exportieren wir die Datenbank. Die exportierte Datenbank befindet sich danach im aktuellen Verzeichnis und trägt den Namen name_der_datenbank.sql.

2. Daten transferieren

Da die alte WordPress-Installation per SSH erreichbar ist und auch der neue Server per SSH angesprochen werden kann, ist das Zwischenspeichern der WordPress-Dateien auf dem lokalen Rechner nicht nötig. Wir verbinden uns per SSH auf den neuen Server, wechseln ins Verzeichnis in welches wir WordPress installieren möchten und führen folgenden Befehl aus:

scp -rv benutzer@alterserver.tld:pfad/zu/dateien/ .

Dabei ersetzen wir benutzer@alterserver.tld mit den Zugangsdaten zum alten Server. Der Teil pfad/zu/dateien/ entspricht dem Pfad, in dem die WordPress-Dateien auf dem alten Server gespeichert sind.

Die Option -r bewirkt, dass Dateien und Verzeichnisse rekursiv kopiert werden. Dank -v gibt das Programm scp aus, was es gerade macht.

3. Installation am neuen Ort konfigurieren

Die von WordPress benötigten Dateien befinden sich bereits am gewünschten Ort. Nun muss noch die zuvor exportierte Datenbank importiert werden. Dazu erstellen wir eine neue Datenbank und notieren uns den Datenbanknamen, den Datenbankbenutzer sowie das entsprechende Passwort.

Danach öffnen wir mit vim wp-config.php die Datei wp-config.php im Editor Vim, starten mit i (insert) den Editiermodus und ändern die Datenbank-Zugangsdaten:

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'Datenbankname');

/** MySQL database username */
define('DB_USER', 'Datenbankbenutzer');

/** MySQL database password */
define('DB_PASSWORD', 'Passwort');

Mit :wq (write und quit) speichern und schliessen wir die Datei.

Nun können wir die Datenbank per WP-CLI importieren:
wp db import name_der_datenbank.sql

Damit ist der Transfer abgeschlossen. Wenn die Domain bereits auf den neuen Server zeigt, ist die WordPress-Website unter der gewohnten Adresse erreichbar. Soll die Website doch unter einer neuen Domain erreichbar sein, genügt ein wp search-replace 'altedomain.tld' 'neuedomain.tld'.

Zum Abschluss löschen wir noch die Datei name_der_datenbank.sql, damit diese nicht öffentlich erreichbar ist:
rm name_der_datenbank.sql

Weitere Tipps zum Thema WordPress finden Sie auch in unserem Supportcenter.

Nicht bei uns: Wenn eine Kündigung zur Odyssee wird

Vergangene Woche bin ich auf die aktuelle Kolumne von Peter Hogenkamp in der Netzwoche aufmerksam geworden. Sie trägt den Titel «Du entkommst uns nicht, Du dummer Kunde!» und handelt von Peters Erlebnis ein Hosting und eine Domain zu kündigen. An dieser Stelle nochmals merci für die positive Erwähnung, Peter.

Leinenzwang bei der Kündigung: Schlechte Laune vorprogrammiert.

Leinenzwang bei der Kündigung: Schlechte Laune vorprogrammiert.

Auweia: Retention Specialists

Vor knapp zwei Jahren sorgte eine Tonaufnahme für Furore, die einen sogenannten «Retention Specialist» bei der Arbeit zeigten. Retention Specialists haben die Aufgabe, abwanderungswillige Kunden zum Verbleib zu bewegen. Das Modell scheint zu funktionieren, zumindest kurzfristig. Anders lässt sich das Aufkommen solcher Jobs im deutschsprachigen Raum nicht erklären.

Wir halten nichts von solchen Praktiken. Uns ist es wichtiger, dass auch ehemalige Kunden ein positives Bild von uns haben. Ausserdem können wir uns unzählige, spannendere Aufgaben für unsere Mitarbeiter vorstellen, als Kunden an der Kündigung zu hindern. Zum Beispiel die ständige Verbesserung unserer Produkte, damit der Wunsch nach einer Kündigung überhaupt nicht erst aufkommt ;)

Erinnern und zwar rechtzeitig

Wir informieren unsere Kunden vor der automatischen Erneuerung eines Vertrags frühzeitig per E-Mail. So bleibt genügend Zeit um den Vertrag zu kündigen, wenn keine Verlängerung gewünscht ist.

Kündigungen sind bei uns bequem per my.cyon-Konto möglich und bei Domains wird der benötigte Auth-Code automatisch angezeigt, wenn die aktuelle Rechnungsperiode beglichen ist. Wir legen also keinem Kunden Steine in den Weg, wenn er zu einem anderen Anbieter wechseln möchte.

Termin verpasst? Rechnen Sie mit Kulanz

Wir wissen, dass es manchmal einfach nicht reicht, einen Vertrag rechtzeitig zu kündigen. Darum stornieren wir bis zu 30 Tage nach der Verlängerung eines Webhostings den Vertrag ohne Wenn und Aber. Alles was es dazu braucht ist eine kurze E-Mail an mail@cyon.ch mit der Angabe der Kundennummer und des Webhostings, das gekündigt werden soll.

Da uns Domainnamen von der jeweiligen Registrierstelle automatisch in Rechnung gestellt werden, gilt diese Kulanz leider nicht für Domains. Die Nutzung mit anderen Diensten oder der Transfer zu einem anderen Anbieter ist aber jederzeit möglich, die Verlängerung einer Domain hat damit keinen Lock-in-Effekt.

5 einfache Tipps für eine schnellere Website

Ein Thema beschäftigt uns Website-Betreiber immer: Geschwindigkeit. Mit dem Sommer, womöglich Sommerferien und Tagen am Wasser bleibt den meisten nur wenig Zeit, ihre Website zu optimieren. Deshalb gebe ich Ihnen heute fünf Kurztipps, wie Sie Ihrer Website ohne viel Aufwand bessere Performance verschaffen.

5 einfache Tipps für eine schnellere Website

1. Server entlasten

Websites, hinter denen ein klassisches CMS (Content-Management-System) auf PHP/MySQL-Basis steht, können ganz schön ressourcenintensiv sein, um Inhalte an den Besucher zu schicken. Das muss nicht sein. Mit einem Caching-Plugin muss der Server die einzelnen Seiten nicht bei jedem Aufruf neu berechnen. Oder Sie setzen anstatt auf ein traditionelles CMS gleich auf ein Flat-File-System. Besser noch: Generieren Sie Ihre Website lokal auf Ihrem Rechner und legen Sie diese statischen Inhalte auf dem Webhosting ab. Static Site Generators machen’s möglich.

2. PHP 7 nutzen

Mit PHP 7 muss ein Server massiv weniger Rechenoperationen durchführen um eine Website darzustellen, als das noch mit PHP 5.6 der Fall war. Wir haben nachgemessen: In unseren Tests konnte eine WordPress-Website pro Sekunde dreimal mehr Anfragen beantworten, wenn PHP 7 aktiviert war. Die Unterstützung von PHP 7 ist unter den beliebtesten CMS mittlerweile flächendeckend. Damit ist der Geschwindigkeitsgewinn von bis zu 300% nur einen Mausklick im my.cyon-Konto entfernt.

3. HTTP/2 nutzen

Das Protokoll, das Websites antreibt, ist in die Jahre gekommen. Webentwickler behelfen sich mit Tricks um die Unzulänglichkeiten von HTTP/1.1 zu umgehen. Hier springt die Nachfolgerversion HTTP/2 in die Bresche und macht die HTTP/1.1-Performance-Tricks überflüssig. Damit Browser HTTP/2-Verbindungen akzeptieren braucht’s natürlich einen Webserver, der das schnelle Protokoll spricht. Ausserdem wird eine verschlüsselte Verbindung, also über HTTPS, vorausgesetzt. Dank unseren kostenlosen SSL-Zertifikaten haben Sie diese Voraussetzung ebenfalls mit einem Mausklick erfüllt. Verbindungen per HTTPS laufen auf unseren Servern automatisch über HTTP/2.

4. GZIP aktivieren

Textdateien lassen sich mit dem Kompressionsprogramm GZIP hervorragend komprimieren. Und da CSS, JavaScript und HTML nichts anderes als Textdateien sind, sind die Grösseneinsparungen mit aktivierter GZIP-Kompression sehenswert. Mit GZIP komprimierte Textdateien sind bis zu 90% kleiner als ihr Ursprung. Das sind spürbar weniger Daten, die übertragen werden müssen. Deshalb ist auf unseren Servern die GZIP-Kompression von Haus aus aktiviert. Falls Ihr Hosting-Anbieter das nicht macht, Apache als Webserver zum Einsatz kommt und das Modul mod_deflate installiert ist, können Sie mit folgenden Befehlen in der .htaccess-Datei Textdateitypen vom Server komprimieren lassen:

<IfModule mod_deflate.c>
  # Compress HTML, CSS, JavaScript, Text, XML and fonts
  AddOutputFilterByType DEFLATE application/javascript
  AddOutputFilterByType DEFLATE application/rss+xml
  AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
  AddOutputFilterByType DEFLATE application/x-font
  AddOutputFilterByType DEFLATE application/x-font-opentype
  AddOutputFilterByType DEFLATE application/x-font-otf
  AddOutputFilterByType DEFLATE application/x-font-truetype
  AddOutputFilterByType DEFLATE application/x-font-ttf
  AddOutputFilterByType DEFLATE application/x-javascript
  AddOutputFilterByType DEFLATE application/xhtml+xml
  AddOutputFilterByType DEFLATE application/xml
  AddOutputFilterByType DEFLATE font/opentype
  AddOutputFilterByType DEFLATE font/otf
  AddOutputFilterByType DEFLATE font/ttf
  AddOutputFilterByType DEFLATE image/svg+xml
  AddOutputFilterByType DEFLATE image/x-icon
  AddOutputFilterByType DEFLATE text/css
  AddOutputFilterByType DEFLATE text/html
  AddOutputFilterByType DEFLATE text/javascript
  AddOutputFilterByType DEFLATE text/plain
  AddOutputFilterByType DEFLATE text/xml

  # Remove browser bugs (only needed for really old browsers)
  BrowserMatch ^Mozilla/4 gzip-only-text/html
  BrowserMatch ^Mozilla/4\.0[678] no-gzip
  BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
  Header append Vary User-Agent
</IfModule>

Quelle: KeyCDN – 18 Tips for Website Performance Optimization

5. Bilder optimieren

Fotos sind schnell einmal einige Megabyte gross. Darum sollten Sie nicht nur wie in Punkt 4 beschrieben, Textdateien komprimieren, sondern auch Bilder auf Ihrer Websites optimieren. Und das fängt schon auf Ihrem Computer an. Verkleinern Sie PNG-, GIF- und JPG-Dateien bereits, bevor Sie die Dateien auf Ihre Website laden.

Praktische Tools wie ImageOptim, ImageAlpha, TinyPNG oder Kraken.io helfen Ihnen dabei. Und falls das von Ihnen verwendete CMS selbst noch einmal verschiedene Versionen eines Bildes anlegt (ja WordPress, Du bist gemeint 😉), empfiehlt sich der Einsatz eines Plugins wie Optimus, das auch diese zusätzlichen Versionen eines Bildes automatisch optimiert.

Weitere Tipps

Möchten Sie Ihre Website noch weiter optimieren? Dann finden Sie bei KeyCDN (Englisch), Torsten Landsiedel, Stefan Wintermeyer, Google Developers oder in unserem Supportcenter-Artikel «Wie kann ich die Geschwindigkeit meiner Website optimieren?» weiterführende Tipps.

Headless CMS: Backend und Frontend entkoppelt

Der Begriff Headless CMS geistert seit einiger Zeit durchs Netz. Wir zeigen heute, was der Begriff bedeutet und in welchen Fällen dieser Ansatz Sinn macht.

Was bedeutet Headless CMS?

Mit einem traditionellen CMS (Content-Management-System) wie zum Beispiel WordPress, Drupal oder Joomla, verwalten Sie die Inhalte Ihrer Website. Das CMS stellt dabei sowohl die Administrationsoberfläche (Backend) als auch die Besucherseite (Frontend) dar.

Bei einem Headless CMS ist das anders. Ein Teil – der Kopf bzw. die Besucherseite – wird gegenüber traditionellen CMSen weggelassen. Ein Headless CMS ist damit nur noch für das Backend verantwortlich und stellt sicher, dass Inhalte verwaltet werden können.

Das Frontend wird durch ein anderes System dargestellt, das sich die Inhalte über eine eine Schnittstelle (API) vom Headless CMS holt. Das andere System kann sowohl eine mobile App, ein JavaScript-Frameworkwie React, Angular und Konsorten oder eine Website sein, die mithilfe eines Static Site Generators kreiert wird.

Der Unterschied: Headless CMS und traditionelles CMS

Der Unterschied: Headless und traditionelles CMS.

Vom traditionellen CMS zu Headless CMS

Content-Management-Systeme wie WordPress oder Drupal sind alles andere als «headless». Die Präsentation der Inhalte ist eine wichtige Aufgabe dieser Systeme. Trotzdem lassen sich gerade die beiden Systeme auch als Headless CMS und damit als Backend für eine Website oder Applikation nutzen. Möglich macht’s jeweils eine Schnittstelle (API), über die Inhalte ausgegeben oder auch erstellt werden können. Sowohl bei WordPress als auch Drupal gehört eine solche Schnittstelle bereits zur Grundausstattung.

Nebst den altbekannten Systemen, die dank einer API zu einem Headless CMS werden können, entstehen auch immer mehr dedizierte Projekte zum Thema. PHP-basierend, und damit problemlos auf einem Webhosting installierbar, sind zum Beispiel Cockpit CMS oder Directus. Auch in der Software-as-a-Service-Branche sind Unternehmen entstanden, die entkoppelte Systeme anbieten. Diese Content-as-a-Service-Provider wie Contentful oder Prismic übernehmen damit nicht nur die Verwaltung der Inhalte sondern auch gleich das Hosting.

Wann macht ein Headless CMS Sinn?

Für eine herkömmliche Website oder einen Blog benötigt man in den meisten Fällen kein Headless CMS. Sobald aber Inhalte für verschiedene Plattformen ausgeliefert werden müssen oder Inhalte aus verschiedenen Systemen zusammengeführt werden, kann sich der Headless-Ansatz lohnen.

Vorteile eines Headless CMS

  • Unabhängig: Inhalte werden vom CMS ohne Formatierung ausgeliefert, das Ringen mit Templates und Eigenheiten des CMS entfällt. Komplette Redesigns der Website sind problemlos möglich, ohne den Inhalt verändern zu müssen.
  • Einmal erstellen, überall nutzen: Inhalte müssen nur in einem System gepflegt werden und können in vielen Unterschiedlichen Frontends (Website, App, etc.) angezeigt werden, ohne dass der Inhalt für jeden Einsatzzweck aufbereitet werden muss.
  • Einbinden in weitere Systeme: Je nach System können Inhalte nicht nur per API abgefragt sondern auch eingespeist werden. Damit lässt sich ein Headless CMS auch mit Systemen verknüpfen, die Inhalte ans System liefern.

Nachteile eines Headless CMS

  • Fehlende Funktionen: Funktionen wie Formulare, Bildergalerien oder Mitgliederbereiche müssen zusätzlich programmiert bzw. durch ein weiteres System bereitgestellt werden.
  • Aus einem System werden viele: Das Gesamtsystem wird komplexer, da es aus mehreren unabhängigen Teilen aufgebaut ist. Die Lokalisierung von Fehlern wird schwieriger.
  • Ungewohnt: Redakteure kennen den Umgang mit traditionellen Content-Management-Systemen. Mit einem Headless CMS müssen unter Umständen alte Zöpfe abgeschnitten werden.

Wie erwähnt, entwickeln sich vor allem WordPress und Drupal sehr stark im Bereich Headless CMS. Haben Sie schon Projekte mit einem Headless-Ansatz umgesetzt? Wir freuen uns auf Ihren Kommentar.

Seite 5 von 101« Erste...34567...102030...Letzte »