Passwortfeld Warnmeldung bei Firefox und was es damit auf sich hat

von Markus Schindler

Verschlüsselte Verbindungen per HTTPS mit einem SSL Zertifikat

Das Thema sichere und verschlüsselte Verbindungen wir immer wichtiger, weshalb auch die meisten namhaften Browserhersteller uns den Hinweis auf eine unverschlüsselte Übertragung von Passwörtern und Zugangsdaten anzeigt.

In der neuen Firefox Version zeigt er unter der Eingabemaske für das Passwortfeld einen Hinweis "Diese Verbindung ist nicht sicher. Ihre Zugangsdaten können auf dieser Seite in falsche Hände geraten.". Leider führt der Link (bei mir am Mac) zwar auf die offizielle Mozilla Support Webseite für Firefox, aber leider ohne weitere Infos was zu tun ist. Bei der Meldung will Mozilla bei der Verwendung von Firefox auf unverschlüsselten Seiten, seinen Kunden darauf aufmerksam machen, das Zugangsdaten abgefangen werden können.

Was ist für Sie als Web-User zu tun?

Wenn sie zuhause mit ihrer Internetverbindung Seiten verwenden die die Meldung anzeigt ist die Gefahr nicht ganz so hoch, als wenn mann über ein öffentliches WLAN Netzwerk die Daten auf solch einer Seite eingibt. Hier würde ich davon abraten, da es schon sein kann, das die eingegebenen Daten abgefangen werden können. Als Versuch die Daten sicher zu übertragen, kann man in der Browsereingabe für die URL bei http:// ein "s" anfügen das die URL mit https:// aufgerufen wird. Vielleicht gibt es zu der Domain ja schon ein SSL Zertifikat, das eine sichere Übertragung der Daten möglich macht. Wenn das nicht der Fall ist, muss man selber abwägen, ob man die Seite verwendet oder nicht.

Was ist für Sie als Webseiten-Betreiber zu tun?
Die meisten Provider bieten zum Hosting auch unterschiedliche Zertifikate an, die je nach Umfang und Einsatz pro Monat oder Jahr unterschiedlich viel kosten und bieten. In den meisten Fällen reicht es ein einfaches Zertifikat für seine Domain zu bestellen. Das Zertifikat kostet je nach Provider zwischen 2 - 5 EUR pro Monat oder eine Pauschale pro Jahr. Die Bestellung erfolgt für das SSL Zertifikat meist über die Adminoberfläche und ist in einigen Schritten angestossen. Bei der Bestellung ist darauf zu achten, das das Zertifikat entweder mit www oder ohne www bestellt wird.

Meinen Kunden die viele Domains haben und eh einen neuen Hoster suchen, empfehle ich spezielle Paket von Webgo die ein kostenfreies SSL Zertifikat von Let's Encrypt mit anbieten. Hier findet ihr die speziellen Hostingangebote.

Für mich als Webentwickler ist das Thema verschlüsselte Verbindungen per HTTPS mit einem SSL Zertifikat nichts neues, da ich seit langem die meisten Projekte gleich mit dem HTTPS Protokoll umsetze, das es erst gar nicht zu einer Warnmeldung im Firefox oder den anderen Browsern für die unsicher Verbindung kommt. Natürlich gibt es weitaus mehr Vorteile, eine Verschlüsselung der Datenübertragung einzusetzen. Google z.B. belohnt das bei der Positionierung im Ranking und nach außen macht die Webseite einen noch seriöseren Eindruck. 

Wenn die Bestellung und Zuordnung des neuen SSL Zertifikats durch ist, sollten noch die alten URL's die mit http://www.domainname... auf die Verschlüsselte Verbindung https://www.domainname... umgeleitet werden.

Das wird in den meisten Fällen über eine Konfigurationsdatei .htaccess die im Hauptverzeichnis der Webseite liegt geregelt. In der Datei werden die URL's per regulärer Ausdrücke (regular expression oder abgekürzt RegExp / Regex) umschrieben, das die Domain nur noch über https zu erreichen ist. Bei Fehleingabe ohne www, http und Verlinkungen von anderen oder internen Seiten, kommt es durch die eingetragenen Umleitung in der .htaccess nicht mehr zu der Meldung am Passwortfeldern von Firefox. Der Browser zeigt mit dem aktiven SSL Zertifikat wie hier bei mir auf der Seite vor der URL ein grünes Schloss.

Diese Verbindung ist nicht sicher. Ihre Zugangsdaten können auf dieser Seite in falsche Hände geraten.

In den meisten Fällen muss auch bei dem eingesetzten CMS wie z.B. hier das Contao CMS ein paar Einstellungen vorgenommen werden, das die Seite unter https läuft.

Als Nachkontrolle für die Umstellung solle über die Netzwerk-Analyse z.B. unter Firefox alle Dateien mit https beginnend angezeigt werden. Wenn Google Analytics zum Einsatz kommt sollte noch kontrolliert werden ob die Domain mit www oder ohne www eingetragen ist und ob die mit https aufgenommen ist .Später kann auch über den Einsatz vom Goggle Webmaster Tool kontrolliert werden, welche Links nicht mehr passen. In der Regel sollten aber alle Links mit oder ohne Parameter für spezielle Umschreibungen vorher kontrolliert werden.


Wenn ich Sie bei der Umstellung Ihrer Contao Webseite auf HTTPS unterstützen kann, dann melden Sie sich gerne bei mir.

Wo

Adresse

CodeSache
Markus Schindler
Gundelsberger Straße 4
83075 Bad Feilnbach

Koordinaten:
N: 47.76583" E: 12.0082113"

Wie

Telefonisch

Mo. - Fr.: 08:00 - 18:00 Uhr

Telefon: +498066885687

Markus Schindler - Official Contao Premium Partner aus Rosenheim bei München

Zurück