Mixed Content erkennen und bereinigen

Zeigt der Browser deine Website als nicht sicher an, obwohl du ein SSL-Zertifikat und die notwendige Weiterleitung auf HTTPS eingerichtet hast? Dann hast du vermutlich «Mixed Content» auf deiner Website.

Wie erkenne ich Mixed Content?

Aktuelle Browser weisen meist nicht direkt auf Mixed Content hin. Unsichere Ressourcen werden einfach geblockt, die Website wird aber dennoch als sicher angezeigt. Einzig Firefox und Opera liefern über die Adresszeile einen Hinweis. Bei Firefox wird folgenden Hinweis mit einem Klick auf das Schloss-Symbol angezeigt.

Am einfachsten lässt sich die Ursache für die Mixed Content-Warnung mit Hilfe der eingebauten Entwickler-Tools erkennen. Öffne die Entwickler-Tools im Browser deiner Wahl und wähle die «Konsole». Unsichere Inhalte sind dort, je nach Browser, rot oder gelb markiert.

Alternativ kannst du den Quelltext deiner Website anzeigen und nach «http» durchsuchen.

Aktive und passive Inhalte

Browser unterscheiden zwischen aktiven und passiven Inhalten.

• Aktive Inhalte sind zum Beispiel Scripts (.js) und Stylesheets (.css), die das Aussehen und die Funktionen der Website bestimmen. Aktiver Mixed Content wird von Browsern geblockt und führt dazu, dass die Website im schlimmsten Fall gar nicht erst lädt. Probleme mit aktivem Mixed Content sollten als erstes gelöst werden.
• Passive Inhalte sind zum Beispiel Bilder, Videos oder Audiodateien. Sie werden trotz unverschlüsselter Verbindung geladen und beeinträchtigen die Funktionalität einer Website in der Regel nicht.

Mixed Content beseitigen

Die Devise ist einfach: Ersetze alle Pfade, die mit http:// beginnen, mit https://. Je nach eingesetztem Content-Management-System reicht es, wenn du die Website-URL in der Konfigurationsdatei des Systems anpasst. Sind Pfade absolut in der Datenbank hinterlegt, wie dies bei WordPress der Fall ist, so ist eine manuelle Anpassung notwendig. Unser Artikel «Weiterleitung auf HTTPS einrichten mit WordPress» beschreibt das Vorgehen für WordPress mit Hilfe eines geeigneten Plugins.

Content Security Policy

Content Security Policy (CSP) ist ein Sicherheitskonzept, um das Einschleusen von unsicheren Daten in Webseiten zu verhindern. Mit Hilfe von CSP lässt sich aber auch Mixed Content auf einer Website finden. Unverschlüsselte Verbindungen können damit auf den verschlüsselten Kanal umgeleitet werden. Das ist besonders bei grossen Websites, an denen viele verschiedene Personen beteiligt sind, hilfreich.

Der Einsatz von CSP für das Beheben von Mixed Content ist auf der Google Developers-Website ausführlich beschrieben. Die dort angegeben Headers können in der .htaccess-Datei auf deinem Webhosting mit Hilfe von mod_headers definiert werden. Einen Endpunkt, an den die Informationen zu gefundenem Mixed Content gesendet werden können, bietet der Dienst report-uri.io.