.htaccess - SSL Weiterleitungsproblem
Bernd
- browser
- htaccess
- webhosting
Hallo,
ich habe ein Problem mit einer Weiterleitung. Folgendes steht in meiner .htaccess Datei
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteRule .* https://shop.example.com%{REQUEST_URI} [R=301,L]
Diese Anleitung habe ich vom Webhoster bekommen. Unter Google Chrome funktioniert die Weiterleitung einwandfrei wenn ich folgendes in die URL eintrage:
https://www.shop.example.com
Rufe ich diese URL im Firefox, IE, Edge oder dem Standard Android Browser bzw. dem Standard iPhone Browser auf erhalte ich folgende Warnmeldung:
Diese Verbindung ist nicht sicher www.shop.example.com verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist nur gültig für shop.example.com. Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN
Klar ist dieses Zertifikat nur für shop.example.com deshalb ja auch die Weiterleitung. Warum funkioniert dieses im Google Chrome fehlerfrei und alle anderen Browser stressen rum?
Tach!
ich habe ein Problem mit einer Weiterleitung.
Nö, du hast ein Zertifikatsproblem.
Diese Anleitung habe ich vom Webhoster bekommen. Unter Google Chrome funktioniert die Weiterleitung einwandfrei wenn ich folgendes in die URL eintrage:
https://www.shop.example.com
Rufe ich diese URL im Firefox, IE, Edge oder dem Standard Android Browser bzw. dem Standard iPhone Browser auf erhalte ich folgende Warnmeldung:
Diese Verbindung ist nicht sicher www.shop.example.com verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist nur gültig für shop.example.com. Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN
Na klar, wenn du mit HTTPS versuchst, eine URL mit ungültigem Zertifikat aufzurufen, dann gibts Stress. Bist du sicher, dass du den Chrome ebenfalls mit https:// und nicht nur mit http:// bedient hast?
Klar ist dieses Zertifikat nur für shop.example.com deshalb ja auch die Weiterleitung. Warum funkioniert dieses im Google Chrome fehlerfrei und alle anderen Browser stressen rum?
Es kann nur mit http://www.shop.example.com (ohne s) stressfrei gehen, weil da kein Zertifikat geprüft werden muss. Jedenfalls kannst du am Verhalten der Browser nichts ändern. Du musst für https:// ein gültiges Zertifikat haben.
dedlfix.
Warum funktioniert dieses im Google Chrome fehlerfrei und alle anderen Browser stressen rum?
Tja. Genau genommen macht hier womöglich (also nach Deinen Angaben) eher Google was "falsch".
Nehmen wir an, jemand könnte den DNS-Eintrag für www.shop.example.com "spoofen" und der von ihm gesteuerte Server würde dann zu shop.examp1e.com (man beachte die Ziffer "1" statt des Buchstaben "l") weiterleiten - mit gültigem Schlüssel.
Das würde kaum jemanden auffallen und ratzfatz wären die Kreditkartendaten in Russland oder Timbuktu und ein paar Gestalten der Staatsbürgerschaft von Malta ein paar hundert Euro näher.
Aber vermutlich macht der Chrome das nur wenn ein paar Bedingungen erfüllt sind. Mir fallen da ein paar ein, die auch mit dem DNS zu tun haben - ich habe das aber nicht getestet.