Umstellung auf https

Zur Umstellung der Webseiten der Ortsverbände und der Mitglieder-Webseiten auf das sichere https Protokoll habe ich eine zweiseitige Dokumentation erstellt. Dort wird insbeondere auf erste Probleme, die es bei der Umstellung geben kann und wie man denen aus dem Weg geht, eingegangen.

Bei der Umstellung von http auf https habe ich so einige Probleme festgestellt. Sie betreffen alle den sogenannten "Mixed Content". Ein paar liebgewonnene Sachen funktionieren einfach nicht mehr. Für ein paar Sachen habe ich schon Lösungen gefunden.

was tut nicht mehr URL dazu mögliche Lösung
Ausbreitungsvorhersage-Banner http://www.hamqsl.com/solar/ Umstellung auf https geplant, kostet Geld und Zeit
Online Logbuch http://www.hamqsl.eu/ https/www.qrz.com

 

Bei diesem "Mixed Content" wird zwischen zwei Arten unterschieden:

  • Active Mixed Content: Also PHP oder Java-Script Anwendungen, dieses kann richtig Probleme bereiten, da damit die Sicherheit der gesamten Seite ausgehebelt wird.
  • Passive Mixed Content: Anzeige von Bildern, Wiedergabe von Audio- und Video-Daten, dieses kann zwar die Sicherheit aushebeln, ist aber meistens unkritisch, wenn man auf die Herkunft der Daten achtet.

Einige Verweise auf Seiten oder Elemente die nur mittels http aufgerufen werden können, in den meisten Fällen "passive Mixed Content", kann man über diesen Trick trotzdem auf einer mit https gesicherte Seite unterbringen: https://www.google.com/search?q=%http://www.url-ohne-https.de&btnl=HiOutThere. Aber Achtung, dieser Kniff sorgt zwar dafür, dass "unsichere" Inhalte nicht mehr als solche beanstandet werden, aber sie sind natürlich immer noch unsicher. Viel mehr öffnet man damit noch mehr Möglichkeiten, um Angriffe auf den aufrufenden Rechner zu starten. Daher sollte man auf diese Pseudosicherheit verzichten.

Wenn man in die Seiten andere Seiten über einen "iframe" einbindet, dann kann es zu Problemen kommen, auch wenn die Seite selbst über https angesprochen werden kann. Dieses ist dann der Fall, wenn auf der Seite selbst "active Mixed Content" aufgerufen wird. Mir ist das die Tage aus Versehen passiert, als ich die seite mit der OV-Übersicht des Distriktes H neuerstellt habe und dabei eine veraltete Version des Programmes verwendet habe. Da standen dann halt in der über https aufgerufenen Seite noch ein paar Links auf http Java-Scripte drin.

Reine Links auf andere Seiten, zum Beispiel das DCL, bereiten keine Probleme. Dieses zeigt unter andererem die Seite mit meinem persönlichen Log, wo ich einen Verweis auf das DCL drin habe. Probleme gibt es nur, wenn Inhalte anderer Seiten, die nur über http erreichbar sind, angezeigt werden sollen. Eine solche Seite habe ich auch, wo ich von den australischen Meteologen was zu den Ausbreitungsbedingungen auf Kurzwelle anzeige. Hier gibt es eine Warnung, dass es sich um unsicheren Inhalt handelt.

Bei der Umstellung von Mitgliederseiten auf https, wie ich es zum Beispiel in der oben angeführten Dokumentation beschrieben habe, sind 2 Sachen zu bedenken:

  1. Die Umleitung von http auf https funktioniert meistens sofort,
  2. die Umleitung von www.<rufzeichen>.darc.de auf <rufzeichen>.darc.de kann einen Moment dauern.

Hier werden im Grunde zwei Sachen abgearbeitet: Die Umleitung von der www Subdomain auf die ohne www und anschliessend die Protokolländerung von http auf https. Denkt bitte dran, für Mitglieder des DARC ist die URL schon immer <rufzeichen>.darc.de gewesen. das www vorneweg hat sich bei einigen bloß aus lauter Gewohnheit reingeschummelt. 

Auf dieser Seite werde ich weitere Sachen und mögliche Lösungen sammeln, was sich noch so bei mir und anderen ergibt, wenn die Webseiten des DARC am 18. Dezember 2017 auf https umgestellt werden. Infos dazu bitte an mich per eMail.

Letzte Änderung am  30.01.2018

Impressum, Datenschutzerklärung