Für von IONOS verwaltete SSL-Zertifikate des Typs SSL Starter, GeoTrust Quick###SSL_PREMIUM### (SSL Starter) oder GeoTrust Quick###SSL_PREMIUM### Wildcard (SSL Starter Wildcard).

Hier zeigen wir Ihnen, wie Sie Mixed Content erkennen, entfernen und die Verschlüsselung für alle Inhalte Ihrer Website aktivieren.

Schützt Ihre Website den Inhalt nicht vollständig, erscheint im Browser eine Mixed-Content-Warnung. Eine vollständig verschlüsselte Auslieferung aller Website-Inhalte über HTTPS erkennen Sie in der Adresszeile des Browsers am grünen Schloss.

 

Was ist Mixed Content?

Mixed Content entsteht, wenn eine Website, die verschlüsselt über HTTPS aufgerufen wird, Inhalte teilweise unverschlüsselt über HTTP ausliefert. Typische Kandidaten für Mixed Content sind Bilder, Audio- und Videodateien, iFrames, CSS- und JavaScript-Dateien und Objekte.

 

Es gibt zwei Arten von Mixed Content
  • Mixed passiver Content: Webinhalte, die andere Teile einer Website nicht ändern können, sondern einfach nur ausgeliefert werden. Dazu gehören Bilder, Videos, Audio-Dateien und Object-SubRessourcen in eine Website eingebunden sind.
  • Mixed aktiver Content: Webinhalte, die Teil des Document Objects Model (DOM) einer Website sind. Diese Webinhalte können Teile einer Website und deren Verhalten nachhaltig verändern. Dazu gehören Links, Skripte (z. B. JavaScript), XML-http-Request-Objekte, iFrames, CSS-Dateien in denen mit URLs gearbeitet wird und Object-Daten-Attribute.

Bitte beachten Sie: Verwenden Sie WordPress Standard oder einen IONOS WordPress Hosting Tarif, dann folgen Sie bitte den Anleitungen in der IONOS Community.

Mixed Content entfernen und ersetzen

Der beste Weg, um Mixed-Content-Probleme zu vermeiden, ist alle Inhalte über HTTPS anstelle von HTTP anzubieten. So geht`s:

Schritt 1

Prüfen Sie mit dem Online-Tool Why No Padlock, welche Inhalte Ihrer Website die Mixed-Content-Warnung auslösen.

Schritt 2

Ersetzen Sie alle Pfade, die mit http:// beginnen mit https://.

Je nach eingesetztem Content-Management-System reicht es, wenn Sie den Website-Pfad in der Konfigurationsdatei des Systems anpassen. Sind absolute Pfade in der Datenbank hinterlegt, ist das Anpassen direkt in der Datenbank nötig. Erstellen Sie bitte unbedingt vorab ein Datenbank-Backup. Einige CMS-Plattformen bieten hierfür Plugins an. Schauen Sie am besten auf der Herstellerseite nach, ob dort ein Plugin angeboten wird.

Schritt 3

Sind die zur Website gehörenden Links von HTTP auf HTTPS umgestellt, sollten Sie noch einen permanenten 301 Redirect einrichten. Ein 301 Redirect ist eine serverseitige, permanente Weiterleitung, die der Suchmaschine Google mitteilt, dass der angeforderte Inhalt dauerhaft umgezogen ist.

Ergänzen Sie in der .htaccess-Datei folgende Zeilen:

# Beispiel RewriteRule:
#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.ihr-domainname.de/$1 [R,L]
</IfModule>
Schritt 4

Webmaster-Tools und Google Analytics anpassen
Theoretisch handelt es sich bei der HTTP- und der HTTPS-Variante um zwei unterschiedliche Websites. Die HTTPS-Variante sollten Sie nach der Umstellung auch im Webmaster-Tool anmelden.

Zeigt Ihr Browser weiterhin die Mixed-Content-Warnung an, kann es an Bild- , iFrame-Inhalte, CSS und JavaScript-Dateien von externen Seiten liegen, welche einfach nicht per HTTPS angeboten werden. An dieser Stelle gibt es leider keine allgemeingültigen Schritte zur Fehlerbehebung.