Kategorien
Infrastruktur seafolly.ch Security Shared Hosting Verschlüsselung

HTTPS erzwingen – ganz einfach

Du hast ein Zertifikat für deine Domain erstellt und deine Website ist nun über HTTPS erreichbar?
Das ist gut!

Es ist nach wie vor möglich, die Site auch in der unsicheren HTTP Variante aufzurufen, beispielsweise über alte Links oder gespeicherte Lesezeichen im Browser?
Das ist schlecht!

Hier bei Novatrend ist es sehr einfach, alle Zugriffe auf deine Website, die über HTTP erfolgen, auf HTTPS umzuleiten.

Ob du auf der unsicheren Version der Website bist, zeigt dir dein Browser an. Hier ein Beispiel mit dem Safari Browser.
Bis vor kurzem war es möglich http://seafolly.ch aufzurufen.

Hinweis des Safari Browsers beim Aufruf von http://seafolly.ch

Auf seafolly.ch läuft ein Drupal 8 und natürlich gibt es die Möglichkeit in der .htaccess Datei eine Weiterleitung per Rewrite Engine zu definieren. Der Code ist nicht für jeden auf Anhieb verständlich 🙂 und daher werden solche Erweiterungen oft nicht eingetragen.

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE] 

Manchmal wird eine Weiterleitung auch vergessen oder die .htaccess Datei wird bei einem Update überschrieben.

Das ist besonders ärgerlich, wenn man versehentlich auf seine Website unsicher über HTTP zugreift, dann neue Artikel einstellt und in diesen Artikeln auf Bilder oder PDFs über das unsichere HTTP Protokoll verlinkt. In so einem Fall greift ein Besucher sicher über HTTP auf dieWebsite zu und im Text stehen Links oder werden Bilder über HTTP eingebunden. Solche Webseiten werden im Browser ebenfalls als unsicher eingestuft

Weiterleitung auf HTTPS erzwingen

Als Novatrend Kunde kannst du im Kommandozentrum (cPanel) unter dem Punkt Domänen eine Liste deiner Domains aufrufen. Dort findest du einen Schalter mit dem Namen Force HTTPS Redirect.

Wenn dieser Schalter auf Ein steht, werden alle Zugriffe auf das HTTPS Protokoll weitergeleitet.

HTTPS Weiterleitung erzwingen

Wenn ein Besucher die seafolly.ch Site mit dem Aufruf http://seafolly.ch besucht, erfolgt sofort eine Weiterleitung auf die sichere Variante unter https://seafolly.ch.

Die sichere Variante https://seafolly.ch

Das Interessante bei dieser Art der Weiterleitung ist, dass auch alle Dateien, wie Grafiken, Fotos oder hochgeladene PDFs automatisch sicher über HTTPS aufgerufen werden.

Gerade Dateien finden sich oft in älteren Caches oder Lesezeichen im Browser.

Datei über http:// aufgerufen wird ebenfalls weitergeleitet

Fazit

Ein einfacher Schalter macht den Unterschied. Alle Aufrufe werden automatisch auf die sichere HTTPS Übertragung weitergeleitet.

Link


tl;dr: Alle Zugriffe über das HTTP Protokoll sollten grundsätzlich auf das sichere HTTPS Protokoll weitergeleitet werden. Bei uns geht das ganz einfach mit einem Klick!

Von hagengraf

Ich erstelle bequeme und benutzerfreundliche Orte in virtuellen und physischen Umgebungen.

Eine Antwort auf „HTTPS erzwingen – ganz einfach“

HTTPS SSL access will soon be mandatory for all websites. Google Chrome is starting to block websites that have only HTTP or mixed content HTTP/HTTPS.

You can see what files are „not safe“ via the Chrome F12 console. In the security tab, you can see what files are not secure!

Kommentar verfassen