Warum zeigt der Browser „nicht sicher“ an, wenn Medien über HTTP geladen werden?

Im heutigen digitalen Zeitalter legen Benutzer und Suchmaschinen gleichermaßen großen Wert auf die Sicherheit von Websites. Ein häufiges Problem, das Website-Betreiber betrifft, ist die Meldung „Webseite nicht sicher„, die in Browsern angezeigt wird. Dieses Problem tritt auf, wenn Teile einer Website, insbesondere Medien wie Videos oder Bilder, über HTTP anstatt über HTTPS geladen werden. Diese unsicheren Elemente können das Sicherheitsniveau der gesamten Website beeinträchtigen und potenzielle Besucher abschrecken.

Was verursacht das Problem?

Das Problem entsteht, wenn eine Website zwar über HTTPS (eine sichere Verbindung) zugänglich ist, aber einige Ressourcen wie Videos, Bilder oder Skripte über HTTP (eine unsichere Verbindung) geladen werden. Diese Art von „Mixed Content“ führt dazu, dass der Browser eine Warnung anzeigt, dass die Website nicht vollständig sicher ist. Diese Warnung wird durch die Sicherheitsmechanismen des Browsers ausgelöst, um den Benutzer vor potenziellen Risiken zu schützen.

Auswirkungen auf die Website

• Vertrauensverlust bei den Besuchern: Wenn Besucher die Meldung sehen, dass eine Website nicht sicher ist, können sie misstrauisch werden und die Seite möglicherweise verlassen, ohne weiterzulesen.
• Niedrigere Suchmaschinenrankings: Suchmaschinen wie Google bevorzugen sichere Websites. Seiten mit Sicherheitswarnungen können in den Suchergebnissen niedriger eingestuft werden, was den organischen Traffic reduziert.
• Schutz vor Sicherheitslücken: HTTP-vermittelte Inhalte sind anfällig für Man-in-the-Middle-Angriffe, bei denen Daten während der Übertragung abgefangen oder verändert werden können.

Wie behebt man das Problem?

Wenn Ihre Website aufgrund von über HTTP geladenen Medien als „nicht sicher“ markiert wird, gibt es mehrere effektive Lösungen:

1. Überprüfung und Aktualisierung der Medien-URLs

Stellen Sie sicher, dass alle eingebetteten Medien (z.B. Videos, Bilder) über HTTPS geladen werden. Das bedeutet, dass Sie die URLs aller Medien auf Ihrer Website überprüfen und manuell ändern müssen, falls sie noch HTTP verwenden.

2. Automatische Ersetzung von HTTP durch HTTPS

Verwenden Sie ein Plugin oder Skript, das automatisch alle HTTP-URLs in Ihren Inhalten auf HTTPS ändert. In WordPress können Sie beispielsweise ein Plugin wie „Really Simple SSL“ verwenden, das diese Aufgabe übernimmt.

3. Erzwingen von HTTPS über .htaccess

Um sicherzustellen, dass Ihre gesamte Website über HTTPS geladen wird, können Sie eine Umleitung in Ihrer `.htaccess`-Datei einrichten. Dies stellt sicher, dass alle Anfragen an HTTP automatisch auf HTTPS umgeleitet werden.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

4. JavaScript-Lösung für selbstgehostete Medien

Wenn Sie selbstgehostete Videos verwenden, können Sie ein JavaScript-Skript einbinden, das alle HTTP-URLs auf HTTPS umstellt, bevor die Seite vollständig geladen wird. Dadurch wird sichergestellt, dass alle Medien sicher geladen werden.

document.addEventListener("DOMContentLoaded", function() {
    var videos = document.querySelectorAll('video source');
    videos.forEach(function(video) {
        var src = video.getAttribute('src');
        if (src.startsWith('http://')) {
            video.setAttribute('src', src.replace('http://', 'https://'));
        }
    });
});

5. WordPress functions.php Lösung

Wenn Sie auf Ihrer WordPress-Seite selbstgehostete Videos über HTTP eingebettet haben, können Sie eine einfache Anpassung in der functions.php-Datei Ihres Themes vornehmen, um sicherzustellen, dass alle Medien über HTTPS geladen werden. Hier ist ein Beispiel für ein Code-Snippet, das diese Aufgabe automatisch erledigt:

function replace_http_with_https_for_self_hosted_videos($content) {
    // Ersetzt HTTP durch HTTPS in Video-URLs
    $content = preg_replace('/http:\/\/(.*\.(mp4|webm|ogg|mov|m4v))/', 'https://$1', $content);
    
    return $content;
}

// Filter, um den Content beim Abrufen zu bearbeiten
add_filter('the_content', 'replace_http_with_https_for_self_hosted_videos');

Dieses Skript durchsucht alle Inhalte Ihrer WordPress-Seite und ersetzt automatisch alle Video-URLs, die mit HTTP beginnen, durch HTTPS. Dadurch wird das Problem des unsicheren Inhalts behoben, ohne dass Sie manuell eingreifen müssen.

6. Zertifikat richtig konfigurieren

Stellen Sie sicher, dass Ihr SSL-Zertifikat korrekt installiert und konfiguriert ist. Wenn das SSL-Zertifikat fehlerhaft installiert ist, sollten Sie es manuell erneuern oder den Kundensupport Ihres Hosting-Providers kontaktieren, um es neu zu bestellen.

Fazit

Die Sicherheitswarnung „Webseite nicht sicher“ ist mehr als nur eine kleine Unannehmlichkeit – sie kann das Vertrauen der Besucher schädigen und Ihre Suchmaschinenplatzierung negativ beeinflussen. Es ist entscheidend, dass alle Teile Ihrer Website, einschließlich eingebetteter Medien, über HTTPS geladen werden. Durch die Implementierung der oben genannten Lösungen können Sie sicherstellen, dass Ihre Website nicht nur als sicher angesehen wird, sondern auch das Vertrauen Ihrer Nutzer gewinnt und Ihre SEO-Bemühungen unterstützt.

Quellen:

• Google Web Fundamentals: Mixed Content
• Mozilla Developer Network: Mixed Content
• SSL Labs: SSL Best Practices