Tach!

Hab für einen Kunden ein Zertifikat eingerichtet. Nun hat er gemischte Inhalte weil er Ressourcen einbindet die nicht verschlüsselt sind. Der Browser blockert das. Hat jemand eine Idee was man hier tun kann!? Der Kunde ist stinksauer!

Auf so einen Dienstleister wäre ich sicher auch sauer, aber der Gemütszustand des Kunden bringt das Problem nicht weiter.

Die sauberste Lösung wäre, wie schon genannt, keine unsicheren Quellen in eine gesicherte Datenübertragung aufnehmen. Das wird bereits seit langen von den Browsern so gehandhabt, denn Sicherheit bringt nicht viel, wenn da das Scheunentor offensteht.

In der Praxis ist es aber oft nicht so einfach möglich, die Datenquellen zu beeinflussen oder sie zu vermeiden. Es gibt auch keinen Schalter, den man einfach so im Browser der Besucher umlegen könnte, um die unsichere Kommunikation zu ermöglichen. Außer man steigt wieder zurück auf generell unsichere Webseiten, denn die können problemlos sichere Quellen einbinden. Aber auch das wird keine Option in dem Fall sein.

Der einzige Ausweg wäre, dass der Server des Kunden sich als Proxy betätigt und die unsicheren Daten abfragt und über die gesicherte Verbindung ausliefert. Aber damit reißt man genau das Loch auf, das die Browser zu vermeiden versuchen, und klebt noch ein Gütesiegel drauf. Solch ein Vorgehen dürfte keiner ernsthaften Sicherheitsprüfung standhalten.

Übrigens, wenn ich hier von sicher und unsicher gesprochen habe, handelt es sich lediglich um die Absicherung des Übertragungswegs. Wie Server und Client selbst oder die angefragten Datenquellen inklusive Verarbeitung gesichert sind oder nicht, steht auf einem anderen Blatt. Zu einem umfassenden Konzept gehört also nicht nur ein Zertifikat zu kaufen (die einfachen Formen gäbe es bei Let's Encrypt auch kostenlos) und ein s anzuhängen.

dedlfix.