Hallo Wallpappe,

dein Kunde müsste auf die Dritt-Domains "Druck ausüben" - wie auch immer man das diplomatisch vermitteln kann -, dass sie ihre Ressourcen https-verschlüsselt anbieten.

Oder auf https ganz oder teilweise verzichten.

Warum will der Kunde https? Habt ihr die Möglichkeit, https auf die Seiten zu begrenzen, auf denen es unbedingt gebraucht wird (tyischerweise ein Kontaktformular oder der Warenkorb eines Webshop)? Sind die Drittressourcen statisch? Könntet ihr die auf den Kundenserver replizieren?

Die erwähnte Proxy-Technik solltest Du NICHT anbieten. Zum Einen ist das nicht so ganz trivial, weil Du die Ressourcen, die Du durch den Proxy jagst, auf weitere Referenzen auf http-Ressourcen parsen und diese Referenzen auf deinen Proxy verbiegen musst. Zum Anderen verkaufst Du damit - wie schon von anderen geschrieben - Schlangenöl.

Fazit: Der Kunde könnte Dir einen Beratungsfehler vorwerfen und Dich für die Zertifikatskosten in Regress nehmen. Vor Gericht könnte er damit sogar durchkommen. Angesichts deiner entrüsteten Fragen hier war Dir die mixed-content Problematik in aktuellen Browsern unbekannt, und wenn dein Kunde diesen Thread findet, hat er einen unangenehmen Beweis gegen Dich in der Hand.

Rolf