Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.
 
Inhaltsverzeichnis
Vorwort
Teil I Grundlagen
1 Einleitung
2 Testumgebung einrichten
3 Live-Umgebung einrichten
4 Website planen
Teil II Joomla! benutzen
5 Website-Frontend kennenlernen
6 Administrations-Backend bedienen
7 Content verwalten
8 Contentpflege konfigurieren
9 Menüs aufbauen
10 Layout und Design anpassen
11 Benutzerverwaltung einrichten
12 Mehrsprachigkeit aktivieren
13 System konfigurieren
Teil III Joomla! erweitern
14 Erweiterungen aktivieren
15 Offizielle Joomla!-Komponenten
16 Empfohlene Erweiterungen
17 Joomla! als Content-Management‐System
18 Joomla! als Community-Plattform
19 Joomla! als Online-Shop
Teil IV Joomla! warten
20 Wartung allgemein
21 Joomla! und Content deployen
22 Sicherheit ausbauen
23 Performance- und Suchmaschinenoptimierung
24 Notfallmaßnahmen
Teil V Joomla!-Erweiterungen entwickeln
25 Grundlagen zur Erweiterungsentwicklung
26 Templates entwickeln
27 Plugins entwickeln
28 Module entwickeln
29 Komponenten entwickeln
30 Erweiterungen veröffentlichen
Stichwortverzeichnis

Jetzt Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Joomla! 3 von Richard Eisenmenger
Das umfassende Handbuch
Buch: Joomla! 3

Joomla! 3
Pfeil 22 Sicherheit ausbauen
Pfeil 22.1 reCAPTCHA/NoCaptcha aktivieren
Pfeil 22.2 Administrations-Backend absichern
Pfeil 22.2.1 Backend-Verschleierung über AdminExile
Pfeil 22.2.2 Zusätzliches Serverpasswort einrichten
Pfeil 22.2.3 Websitezugriff anhand der IP einschränken
Pfeil 22.3 SSL aktivieren
Pfeil 22.3.1 Beschaffung eines SSL-Zertifikats
Pfeil 22.3.2 SSL-Aktivierung und -Konfiguration beim Webhoster
Pfeil 22.3.3 SSL-Aktivierung in Joomla!
Pfeil 22.3.4 Ausmerzen nachgeladener HTTP-Elemente
Pfeil 22.4 Starke Passwörter einsetzen
Pfeil 22.5 Verzeichnis- und Dateirechte prüfen
Pfeil 22.6 Vulnerable Extensions List kennen
 
Zum Seitenanfang

22.3    SSL aktivieren Zur vorigen ÜberschriftZur nächsten Überschrift

Wenn Sie in Online-Shops einkaufen und Ihre Kundendaten und die Kreditkartennummer eingeben, nutzen Sie aller Wahrscheinlichkeit nach eines der wichtigsten Protokolle im Internet. Hypertext Transfer Protocol Secure (HTTPS) bzw. den darin gekapselten Secure Sockets Layer (SSL), in neuesten Versionen auch Transport Layer Security (TLS) umgetauft. Diese Protokolle verschlüsseln die zwischen Server und Client übertragenen Daten, sodass theoretisch nur der Online-Shop Ihre Kreditkarte belasten kann. Solch eine sichere Verbindung erkennen Sie an diversen Schlüssel- oder Schlosssymbolen (inline image), auf jeden Fall aber an der vorangestellten Protokollabkürzung https://.

Hundertprozentige Sicherheit gibt es nicht, und so herrschte im April 2014 Aufruhr wegen einer Sicherheitslücke bei einer der wichtigsten Programmbibliotheken, die SSL-Verbindungen herstellt. Das Problem (Heartbleed) war schnell behoben und stellt keine Gefahr mehr dar, aber es veranschaulicht, dass auch SSL nur ein Bestandteil eines Sicherheitskonzepts ist, zu dem mehr gehört als die Installation eines Zertifikats und das Umlegen eines Konfigurationsschalters. Nichtsdestotrotz ist SSL ein Must-have einer sicheren Datenübertragung, insbesondere für Online-Shops und alle Websites, die mit kundenspezifischen oder persönlichen Daten arbeiten.

Die immer häufiger zutage tretenden Datenschutzprobleme im Zusammenhang mit Geheimdiensten rufen ein neues Sicherheitsdenken hervor. Ab 2015 finden sich vermehrt Initiativen zusammen, die die grundsätzliche Verschlüsselung aller Datenübertragungen im Internet postulieren. Dabei geht es nicht nur um die Vermeidung passiven Abhörens Ihrer Daten, sondern z. B. auch um aktive Hackerangriffe (Phishing). Als Webmaster sind Sie in der Lage, sich am nächsten Evolutionsschritt des Internets zu beteiligen, nämlich der Bereitstellung sicherer Verbindungen für alle Datenübertragungen – das betrifft sowohl die Authentifizierung als auch die Verschlüsselung der Daten.

Das Interesse an diesem Fortschritt ist so groß, dass sogar Google im Rahmen des Slogans »HTTPS everywhere« Webmaster anhält, den Umstieg durchzuführen (längeres YouTube-Video der Konferenz Google I/O 2014: http://tinyurl.com/jh-https). Mit Ranking-Abstrafungen für ungesicherte Websites sei wohl nicht zu rechnen, dennoch wird das Thema von Monat zu Monat heißer. Mit Joomla! und einem SSL-unterstützenden Webhosting-Paket steht der HTTPS-Aktivierung Ihrer Website nichts im Wege.

Info: Mit SSL verschlüsselte Websites sind unwesentlich langsamer

Bei der Übertragung verschlüsselter Inhalte müssen Client und Server länger miteinander kommunizieren, um sich z. B. gegenseitig zu authentifizieren. Auch die Ver- und Entschlüsselung beansprucht Zeit, da die beteiligten Prozessoren nicht untriviale Rechenoperationen durchführen. Wird dadurch die Übertragung einer Webseite langsamer? Ja. Allerdings fällt das bei modernen Servern und Clients nicht ins Gewicht. Vor einigen Jahren war das anders: Die Umstellung auf HTTPS resultierte in messbaren Geschwindigkeitseinbußen, weshalb man dazu überging, nur die Webseiten zu verschlüsseln, die sensible Daten enthielten (Warenkörbe, Benutzerprofile). Heutzutage sind alle beteiligten Geräte jedoch leistungsstark genug, dass Sie problemlos Ihre gesamte Website umstellen können.

Vielleicht erinnern Sie sich, in der globalen Joomla!-Konfiguration, genauer unter SystemKonfiguration • Reiter Server, das Feld SSL erzwingen gesehen zu haben. Damit stellen Sie Ihre Website (wahlweise nur das Backend oder Front- und Backend) von HTTP auf HTTPS um. Aber ganz so einfach ist es leider nicht, denn es ist eine ganze Reihe von Schritten notwendig:

  • Beschaffung eines SSL-Zertifikats

  • SSL-Aktivierung und -Konfiguration beim Webhoster

  • SSL-Aktivierung in Joomla!

  • Ausmerzen nachgeladener (unsicherer) HTTP-Elemente

In dieser Liste ist es das SSL-Zertifikat, das eine kleine Hürde darstellt. Im Internet belegen Zertifikate, dass Personen und Webserver auch wirklich diejenigen sind, für die sie sich ausgeben (Authentifizierung). Deshalb ist ein Zertifikat direkt mit einer oder mehreren Domains verbunden, eine Einrichtung auf Ihrem lokalen Entwicklungssystem ist nicht möglich. Haben Sie sich erst mal solch ein Zertifikat beschafft, legen Sie nur noch ein paar Schalter um, damit Ihre Website vollständig auf HTTPS läuft.

Hinweis: Größere Webhoster bieten die Zertifikatserstellung und -konfiguration auch als kostenpflichtige Zusatzleistung an, sind aber teurer als die unabhängigen Zertifizierer. Entscheiden Sie sich für diesen Service, können Sie die folgenden Abschnitte über Zertifikatsbeschaffung und -konfiguration überspringen.

Hintergrund: SSL-Authentifizierungsprozess

Bevor die Webseitendatenübertragung zwischen Webbrowser (Client) und Webserver verschlüsselt erfolgt, bestätigen beide gegenseitig ihre Authentizität. Im Rahmen des sogenannten Handshakes (deutsch: Händeschütteln) senden Sie Zertifikate und zur Verschlüsselung dienende Keys (siehe Abbildung 22.7). Ein Public Key ist ein öffentlicher Schlüssel, mit dem die Gegenstelle Botschaften verschlüsselt, die ausschließlich mit dem passenden Private Key entziffert werden können. Im Hintergrund prüfen Client und Server gleichzeitig, ob die Zertifikate des jeweils anderen gültig sind. Nur dann und bei erfolgreicher Authentifizierung erscheint in der Adresszeile des Browsers das begehrte Schlosssymbol, das auf die sichere SSL-Verbindung hinweist.

Erst nach der während des Handshakes erfolgenden gegenseitigen Authentifizierung werden Webseiten, Bilder, JavaScript- und CSS-Dateien verschlüsselt übertragen.

Abbildung 22.7    Erst nach der während des Handshakes erfolgenden gegenseitigen Authentifizierung werden Webseiten, Bilder, JavaScript- und CSS-Dateien verschlüsselt übertragen.

 
Zum Seitenanfang

22.3.1    Beschaffung eines SSL-Zertifikats Zur vorigen ÜberschriftZur nächsten Überschrift

Die Ausstellung eines SSL-Zertifikats erfolgt nur durch bestimmte Organisationen, die administrativen Aufwand betreiben müssen, um Ihre Authentizität und die Ihrer Website zu prüfen. Darum sind Zertifikate in der Regel kostenpflichtig, was wiederum viele Webmaster abschreckt. Doch auch für Leute mit schmalem Geldbeutel gibt es eine Lösung, bzw. drei: StartSSL (http://www.startssl.com), WoSign (https://buy.wosign.com/free/) und Let’s Encrypt (https://letsencrypt.org) bieten kostenlose Zertifikate für den Hausgebrauch. Beachten Sie, dass es hier verschiedene Zertifizierungsstufen gibt. Bei kostenlosen Zertifikaten genügt eine einfache E-Mail-Adresse zur Verifizierung der Website, und diese lockere Absicherung teilt der Webbrowser dem Besucher auf Anfrage mit.

Erscheint beim Ansehen des Zertifikats die Meldung »This website does not supply ownership information.«. Einige Browser blenden dann statt des Schlosssymbols (inline image) eine unscheinbare Warnung ein (inline image), ist das kein Problem für private oder mittelständige Websites, große Konzerne oder Online-Shops sollten aber ruhig etwas mehr Geld für ein professionelleres Zertifikat in die Hand nehmen. Ab 400 € erhalten diese dann die Crème de la Crème der SSL-Zertifikate mit erweiterter Validierung und besonders attraktiver grüner Färbung und Firmennennung in der Adressleiste des Browsers.

Die Beantragung eines SSL-Zertifikats ist aber unabhängig von der Verifizierungsstufe und setzt lediglich voraus, dass Sie Besitzer der abzusichernden Domain sind und das auch nachweisen können. Die folgende Zertifikatsbeantragung erfolgt beispielhaft bei WoSign für https://joomla-handbuch.com. Für Ihr eigenes Zertifikat besuchen Sie dazu die Website des Zertifizierers, z. B. WoSign unter https://buy.wosign.com/free, und bearbeiten das Formular Request a Free SSL Certificate (siehe Abbildung 22.9):

  1. Step 1: Set certificate parameter
    Geben Sie den Domain-Namen Ihrer Website ein, wählen Sie die 3-year-Periode, English und SHA2. Die letzte Option steht für den Verschlüsselungsgrad und ist besonders wichtig, da die veraltete Verschlüsselungsmethode SHA1 bei einigen Browsern Warnmeldungen erzeugt. Eine andere Bezeichnung, die Sie bei Zertifizierern für SHA2 sehen, ist SHA-256 mit RSA-Verschlüsselungen (Encryption).

  2. Step 2: Domain name control verification
    Erst nachdem Sie Schritt 1 ausfüllten, ist Step 2 verfügbar; hier verifizieren Sie sich als Besitzer der Domain. Beim kostenlosen Zertifikat genügt dabei die Bestätigung per E‐Mail, z. B. einer Webmaster- oder Administratoradresse der Website-Domain oder der E-Mail-Adresse, unter die die Domain in der Whois-Datenbank eingetragen ist.

    Nach Klick auf Click to send verification Email müssen Sie sich beeilen, denn aus Sicherheitsgründen bleibt für den Verifizierungsvorgang nur eine Minute: Wechsel zum Posteingang, geduldig warten, bis die WoSign-Mail Your Domain Authentication Code eintrifft, Kopieren des Verification Codes in die Zwischenablage und dann Einfügen des Codes in das offene Formular (siehe Abbildung 22.8). Je nach Geschwindigkeit der involvierten Mailserver kann das zwei oder drei Anläufe in Anspruch nehmen.

    Hinter dem Popup-Formular »Domain name control verification« verbirgt sich der eigentliche Zertifizierungsmechanismus für Ihre Domain, den Sie nur mit Zugriff auf eine der angegebenen E-Mail-Adressen abschließen können.

    Abbildung 22.8    Hinter dem Popup-Formular »Domain name control verification« verbirgt sich der eigentliche Zertifizierungsmechanismus für Ihre Domain, den Sie nur mit Zugriff auf eine der angegebenen E-Mail-Adressen abschließen können.

  3. Step 3: Please Select Certificate Signing Request method

    • Wählen Sie hier das Schnellverfahren Option 1: Generated by the system.

    • Set the key protection password

    • Das hier eingesetzte Passwort verwendet WoSign später zur Absicherung des ZIP-Archivs, das Ihr Zertifikat enthält.

  4. Step 4: Enter Email to receive the certificate collection link
    Nach der Erzeugung erhalten Sie das Zertifikat unter der hier angegebenen E-Mail-Adresse. Wählen Sie schließlich noch ein Passwort aus, um sich zukünftig bei WoSign anmelden zu können, um Ihre Kontodaten zu verwalten oder weitere Zertifikate zu bestellen.

  5. Bestätigen Sie I have read and agree WoSign Terms of Use Agreement mit einem Häkchen, klicken Sie auf Submit request, und gedulden Sie sich wenige Stunden, bis der Download-Link in Ihrem Posteingang ankommt.

    Nach Absenden der Zertifikatsbestellung kann es einige Stunden dauern, bis Sie den Download-Link per E-Mail erhalten.

    Abbildung 22.9    Nach Absenden der Zertifikatsbestellung kann es einige Stunden dauern, bis Sie den Download-Link per E-Mail erhalten.

Nach einigen Stunden Bearbeitungszeit erhalten Sie von WoSign die begehrte Mail Your WoSign SSL Certificate ready for collection. Klicken Sie auf den Link in der E-Mail, gelangen Sie zu einer letzten Formularseite, auf der Sie das im ersten Formular angegebene Key Protection Password eingeben. Tragen Sie außerdem das CAPTCHA ein, setzen Sie das letzte Häkchen, und klicken Sie auf Retrieve, woraufhin der Download des Zertifikatarchivs startet (siehe Abbildung 22.10). Hinweis: All diese Schritte können einige Minuten dauern, haben Sie etwas Geduld.

Über die letzte WoSign-Mail gelangen Sie zum Download-Formular, in das Sie das vorher vergebene »Key Protection Password« eintragen, um das Zertifikats-ZIP-Archiv herunterzuladen.

Abbildung 22.10    Über die letzte WoSign-Mail gelangen Sie zum Download-Formular, in das Sie das vorher vergebene »Key Protection Password« eintragen, um das Zertifikats-ZIP-Archiv herunterzuladen.

 
Zum Seitenanfang

22.3.2    SSL-Aktivierung und -Konfiguration beim Webhoster Zur vorigen ÜberschriftZur nächsten Überschrift

Das von WoSign heruntergeladene und erneut mit dem Key Protection Password geschützte ZIP-Archiv enthält mehrere serverspezifische Unterarchive, die alle für die SSL-Umstellung erforderlichen Dateien enthalten. In der Regel läuft Ihre Website auf einem Apache Webserver, entpacken Sie deshalb die Dateien des Unterarchivs for Apache.zip:

  • 1_root_bundle.crt
    Bei Ihrem SSL-Zertifikat handelt es sich um ein sogenanntes Endpunktzertifikat, da sich Ihre Website am Ende einer möglicherweise langen Zertifizierungskette befindet. Stellen Sie sich die Organisation, die Ihr Zertifikat ausstellte, wie einen Untermieter vor, der unter dem Dach eines übergeordneten Zertifizierers Zertifikate ausstellt. Diese Untervermietungskette zieht sich so lange fort, bis man auf eine sogenannte Stammzertifizierungsstelle an höchster Ebene stößt. Deren Unterhalt ist recht teuer, so ist die Verteilung von Zertifizierungsrechten, die Untermiete, an andere Organisationen ein verbreitetes Szenario. Ultimativ ist es aber das Stamm- oder Rootzertifikat, das über die für die Webbrowser erforderliche Authentizität verfügt. Und damit der Webbrowser diesen Zertifizierungspfad nachvollziehen kann, enthält Ihr ZIP-Archiv sogenannte Brückenzertifikate (auch Intermediate- oder Bundlezertifikat) in der 1_root_bundle.crt-Datei, die Sie ebenfalls für die Serverkonfiguration benötigen. Damit weiß der Webbrowser, dass alle Zertifizierungen angefangen von Ihrem Zertifikat bis hoch zur Stammzertifizierungsstelle gültig sind.

  • 2_ihr_domain_name.de.crt
    Das ist Ihr eigentliches Zertifikat, speziell auf die Domain ausgestellt, die Sie im Bestellformular angaben. Dieses Zertifikat sendet der Webserver an den Browser Ihrer Websitebesucher.

  • 3_ihr_domain_name.de.key
    Zu Ihrem Zertifikat gehört auch eine Art Passwort, der sogenannte Private Key, der nur für Ihren Webserver bestimmt ist und mit dem er die Anfrage nach einer abgesicherten Verbindung entschlüsselt (siehe Abbildung 22.7 im Kasten »Hintergrund: SSL-Authentifizierungsprozess«).

Beispiel der Zertifikatseinrichtung für »joomla-handbuch.com« in der Webhosting-Konfiguration, alle drei Dateien des Archivs »for Apache.zip« werden benötigt.

Abbildung 22.11    Beispiel der Zertifikatseinrichtung für »joomla-handbuch.com« in der Webhosting-Konfiguration, alle drei Dateien des Archivs »for Apache.zip« werden benötigt.

Diese drei Dateien benötigt der bei Ihrem Webhoster angemietete Server zum Aufbau von per SSL verschlüsselten Verbindungen. An welcher Stelle Sie die Zertifikate und Schlüssel eingeben, hängt von Ihrem Webhoster ab, ein Beispielformular sehen Sie in Abbildung 22.11. Suchen Sie in der Konfiguration der domainspezifischen Einstellungen nach SSL-Schutz oder SSL-Zertifikat einrichten. Dort finden Sie oft auch einen Schalter, der die Domain serverseitig für SSL vorbereitet, eine notwendige serverseitige Konfiguration. Im Zweifelsfall kontaktieren Sie den Support Ihres Webhosters und fragen nach Informationen. Das Aktivieren von SSL-Zertifikaten gehört zu den Standardprozessen, eine Antwort wird nicht lange auf sich warten lassen.

 
Zum Seitenanfang

22.3.3    SSL-Aktivierung in Joomla! Zur vorigen ÜberschriftZur nächsten Überschrift

Nach Einrichten des Zertifikats weisen Sie Joomla! an, die Website nur noch per SSL, also mit vorangestellter HTTPS-Protokollangabe der URL, auszuliefern. Das geschieht über einen einzigen Schalter in der globalen Konfiguration unter SystemKonfiguration • Reiter Server • Bereich Server • Schalter SSL erzwingen. Stellen Sie die Dropdown-Liste auf Gesamte Website, und Speichern & Schliessen Sie die Einstellung. Testen Sie nun im Frontend, dass die Webseiten verschlüsselt übertragen werden. Dazu muss bei jeder Seite in der Adresszeile des Browsers das Schlosssymbol (inline image) erscheinen. Benutzen Sie die Firefox Developer Edition, erkennen Sie im Inspectorfenster sogar die Verschlüsselung aller für den Aufbau der Webseite beteiligten Bestandteile, Bilder, JavaScript-Dateien etc. (siehe Abbildung 22.12).

Im Inspectorfenster der Firefox Developer Edition sehen Sie, dass alle Dateien, aus denen die übertragene Webseite besteht, verschlüsselt werden.

Abbildung 22.12    Im Inspectorfenster der Firefox Developer Edition sehen Sie, dass alle Dateien, aus denen die übertragene Webseite besteht, verschlüsselt werden.

Hinweis: Module des Typs Benutzer - Anmeldung (das standardmäßig installierte Login-Formular) enthalten einen Umschalter Anmeldung über SSL. Dieser dient der Absicherung der Benutzername- und Passworteingabe und ist nur dann notwendig, wenn Sie nicht die gesamte Website auf SSL umstellen, sondern nur die Anmeldung.

Problemlösung: Kein Login in das Administrations-Backend

Zugriffsprobleme ins Backend sind möglich, falls die Umstellung auf SSL nicht vollständig erfolgte oder eine Erweiterung das Ladeverhalten der Website (z. B. SEO-Plugins) beeinflusst. Deaktivieren Sie zunächst wieder die site-weite SSL-Umstellung in der Datei configuration.php im Hauptverzeichnis der Joomla!-Installation, indem Sie die Variable $force_ssl auf »0« stellen. Prüfen Sie die SSL-Konfiguration Ihres Webservers, loggen Sie sich dann ins Backend ein, und deaktivieren Sie verdächtige Erweiterungen, bevor Sie SSL wieder aktivieren.

 
Zum Seitenanfang

22.3.4    Ausmerzen nachgeladener HTTP-Elemente Zur vorigen ÜberschriftZur nächsten Überschrift

Erscheint im Firefox ein weiteres einem Schild ähnelndes Symbol (inline image) in der Adressleiste, hat Ihre Website noch ein kleines Sicherheitsproblem. (Einige Chrome-Versionen markieren das Schlosssymbol mit einem Warndreieck.) Klicken Sie auf das Schild für mehr Informationen, handelt es sich wahrscheinlich um eine Warnung über blockierte Inhalte mit dem Hinweis Einige unverschlüsselt übertragene Elemente dieser Webseite wurden blockiert wie in Abbildung 22.13.

Bei per SSL gesicherten Verbindungen verweigern Webbrowser das Nachladen von Inhalten mit HTTP.

Abbildung 22.13    Bei per SSL gesicherten Verbindungen verweigern Webbrowser das Nachladen von Inhalten mit HTTP.

Nach initialer Umstellung einer gesamten Website ist das ein typisches Problem: Zwar liefert Joomla! alle Webseiten per HTTPS aus, aber insbesondere wenn Sie externe Inhalte in Ihre Seiten eingebettet haben, werden diese möglicherweise noch unverschlüsselt, per HTTP, übertragen. Ein derartiger Mix aus verschlüsselten und unverschlüsselten Dateien ist nicht gern gesehen. Niemand vertraut der Website einer Bank, die vorgibt, alle Übertragungen zu verschlüsseln, aber dennoch einige Elemente unverschlüsselt übermittelt. Deshalb blockieren Webbrowser solchen Content grundsätzlich.

Begeben Sie sich nun auf Spurensuche nach all den Webseitenelementen, die unverschlüsselt übertragen wurden. Joomla! wurde komplett auf SSL umgestellt, es handelt sich also entweder um hardgecodete Links, z. B. in einem Modul, oder externe Webseitenbestandteile, z. B. nachgeladene Schriften, JavaScript-Bibliotheken oder CSS-Frameworks. Das Rätsel ist schnell gelöst: Öffnen Sie die Quelltextansicht der betreffenden Webseite, und suchen Sie nach »http:« (siehe Abbildung 22.14). Überlegen Sie dann, welche Komponente, welches Modul oder welche Erweiterung den betreffenden Link produziert. Für die Website unter https://joomla-handbuch.com war beispielsweise eine aus dem Google-Fonts-Repositorium nachgeladene Schrift verantwortlich – der in einer Templateeinstellung hinterlegte Link http://fonts.googleapis.com/css?family=Roboto+Slab.

Zur Identifizierung der problematischen Elemente werfen Sie einen Blick in den Quelltext und suchen nach »http:«.

Abbildung 22.14    Zur Identifizierung der problematischen Elemente werfen Sie einen Blick in den Quelltext und suchen nach »http:«.

Falls Sie keine HTTP-Links im Quelltext ausfindig machen, verstecken sich die unsicheren Elemente etwas tiefer, beispielsweise in nachgeladenen CSS-Dateien oder von JavaScript generiertem HTML-Code. Nutzen Sie dann das Web-Developer-Add-on von Firefox oder die Entwicklertools von Chrome, um eine klare Fehlermeldung zu erhalten. Wechseln Sie dazu im jeweiligen Tool in WerkzeugeFehlerkonsole bzw. Weitere ToolsJavaScript-Konsole (siehe Abbildung 22.15).

Die Chrome-Entwicklertools und das Firefox-Add-on Web Developer zeigen blockierte HTTP-Inhalte in der JavaScript-Fehlerkonsole.

Abbildung 22.15    Die Chrome-Entwicklertools und das Firefox-Add-on Web Developer zeigen blockierte HTTP-Inhalte in der JavaScript-Fehlerkonsole.

Haben Sie den unsicheren Link lokalisiert, genügt die Korrektur der Protokollangabe von http:// zu https://. Es geht aber noch eleganter. Lassen Sie die Protokollangabe einfach weg, verwandeln Sie die Linkadresse in eine sogenannte protokoll- oder schemalose URL. Der Browser wird dann angewiesen, den Inhalt über dasselbe Protokoll zu laden wie den Rest der Webseite. Die Adresse beginnt dann mit den beiden Slashes, also z. B. //fonts.googleapis.com/css?family=Roboto+Slab.

Hinweis: Fordern Sie externe Inhalte ab sofort nicht mehr per HTTP, sondern HTTPS an, muss der betreffende Server natürlich auch die SSL-Verschlüsselung akzeptieren. Allgemein zugängliche Repositorien wie Google Fonts oder Content Delivery Networks (CDN), von denen Sie JS- oder CSS-Dateien nachladen, sind für diesen Fall aber gerüstet.

Tipp: Testen des Zertifikats, lokal und mit Qualys SSL Labs

Ist das Zertifikat vollständig eingerichtet, rufen Sie Ihre Website auf und begutachten das neue Zertifikat erst mal im Browser. Klicken Sie in der Adresszeile des Browsers auf das Schlosssymbol vor der URL, und klicken Sie sich durch die Buttons und Fenster Mehr Informationen / Zertifikat anzeigen. Achten Sie insbesondere auf die Erwähnung des aktuellen Verschlüsselungsalgorithmus SHA-2 oder SHA-256, wie z. B. unter der Überschrift Fingerabdrücke in Abbildung 22.16.

Zertifikatanzeige im Webbrowser; insbesondere der SHA-256-Fingerabdruck deutet auf eine Verschlüsselung nach neueren Standards.

Abbildung 22.16    Zertifikatanzeige im Webbrowser; insbesondere der SHA-256-Fingerabdruck deutet auf eine Verschlüsselung nach neueren Standards.

Im nächsten Schritt helfen Ihnen Tools im Internet, die Funktionsfähigkeit des Zertifikats zu überprüfen. Eines davon erreichen Sie unter https://www.ssllabs.com/ssltest (siehe Abbildung 22.17). Geben Sie hier einfach Ihren Domain-Namen ein, klicken Sie auf Submit, und studieren Sie nach einigen Minuten die Ausgabe. Prüfen Sie den Signature algorithm (Soll: SHA256withRSA) und das grüne Endresultat (Soll: TrustedYes).

Wichtig: Setzen Sie sich eine Kalendererinnerung zwei Wochen vor dem Datum Valid until, um dann ein neues Zertifikat zu beantragen.

Unter »https://www.ssllabs.com/ssltest« prüfen Sie die korrekte Installation des Zertifikats; achten Sie besonders auf den »Signature algorithm« und das Gesamturteil »Trusted«.

Abbildung 22.17    Unter »https://www.ssllabs.com/ssltest« prüfen Sie die korrekte Installation des Zertifikats; achten Sie besonders auf den »Signature algorithm« und das Gesamturteil »Trusted«.

 


Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück
 Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Joomla! 3 Joomla! 3
Jetzt Buch bestellen

 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: HTML5 und CSS3
HTML5 und CSS3


Zum Rheinwerk-Shop: Schrödinger lernt HTML5, CSS und JavaScript
Schrödinger lernt HTML5, CSS und JavaScript


Zum Rheinwerk-Shop: Einstieg in PHP 7 und MySQL
Einstieg in PHP 7 und MySQL


Zum Rheinwerk-Shop: PHP 7 und MySQL
PHP 7 und MySQL


Zum Rheinwerk-Shop: Erfolgreiche Websites
Erfolgreiche Websites


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo

 
 


Copyright © Rheinwerk Verlag GmbH 2019
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.

 
Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern