Sicherheit: Sicherheitsprobleme verstehen

Über den Bereich Sicherheit in den Chrome-Entwicklertools können Sie prüfen, ob HTTPS auf einer Seite richtig implementiert ist. Im Artikel Warum HTTPS wichtig ist erfahren Sie, warum jede Website mit HTTPS geschützt werden sollte – auch Websites, die keine sensiblen Nutzerdaten verarbeiten.

Übersicht

Im Bereich Sicherheit können Sie in den DevTools die Sicherheit einer Seite prüfen. Im Bereich Sicherheit erhalten Sie eine Übersicht über die Ursprünge Ihrer Seite, einschließlich HTTP-Sicherheitswarnungen, Ursprungsdetails und Zertifikaten.

Bereich „Sicherheit“ öffnen

So öffnen Sie den Bereich Sicherheit:

  1. Öffnen Sie die Entwicklertools.
  2. Drücken Sie eine der folgenden Tasten, um das Befehlsmenü zu öffnen:
    • macOS: Befehlstaste + Umschalttaste + P
    • Windows, Linux, ChromeOS: Strg + Umschalttaste + P
  3. Geben Sie security ein, wählen Sie Sicherheitsbereich anzeigen aus und drücken Sie die Eingabetaste.

    Im Bereich „Sicherheit“

    Abbildung 1. Bereich „Sicherheit“

Alternativ können Sie rechts oben auf das more_vert Weitere Optionen > Weitere Tools > Sicherheit tippen.

Häufige Probleme

Nicht sichere Hauptquellen

Wenn die Hauptquelle einer Seite nicht sicher ist, wird in der Sicherheitsübersicht Diese Seite ist nicht sicher angezeigt.

Eine nicht sichere Seite

Abbildung 2. Eine nicht sichere Seite

Dieses Problem tritt auf, wenn die von Ihnen besuchte URL über HTTP angefordert wurde. Für eine sichere Übertragung müssen Sie die Daten über HTTPS anfordern. Die URL in der Adressleiste sieht beispielsweise in etwa so aus: http://example.com. Die URL sollte https://example.com lauten, um für Sicherheit zu sorgen.

Wenn Sie HTTPS bereits auf Ihrem Server eingerichtet haben, müssen Sie nur Ihren Server so konfigurieren, dass alle HTTP-Anfragen an HTTPS weitergeleitet werden.

Wenn Sie HTTPS auf Ihrem Server noch nicht eingerichtet haben, bietet Let's Encrypt eine kostenlose und relativ einfache Möglichkeit, den Vorgang zu starten. Alternativ können Sie Ihre Website auch in einem CDN hosten. Die meisten großen CDNs hosten Websites jetzt standardmäßig über HTTPS.

Mixed content

Gemische Inhalte bedeuten, dass die Hauptquelle einer Seite sicher ist, die Seite aber Ressourcen von unsicheren Quellen angefordert hat. Seiten mit gemischten Inhalten sind nur teilweise geschützt, da die HTTP-Inhalte für Sniffer zugänglich und anfällig für Man-in-the-Middle-Angriffe sind.

Gemischte Inhalte

Abbildung 3. Mixed content

In Abbildung 3 wird durch Klicken auf 1 Anfrage im Netzwerkbereich ansehen der Bereich Netzwerk geöffnet und der Filter mixed-content:displayed angewendet, sodass im Netzwerkprotokoll nur nicht sichere Ressourcen angezeigt werden.

Gemischte Ressourcen im Netzwerkprotokoll.

Abbildung 4. Gemischte Ressourcen im Netzwerkprotokoll

Details ansehen

Haupt-Zertifikat der Herkunft ansehen

Klicken Sie auf der Seite Sicherheitsübersicht auf Zertifikat ansehen, um das Zertifikat des Hauptursprungs schnell zu prüfen.

Ein Haupt-Ursprungszertifikat.

Abbildung 5. Ein Hauptquellenzertifikat

Ursprungsdetails ansehen

Klicken Sie auf einen der Einträge im linken Navigationsbereich, um die Details zum Ursprung aufzurufen. Auf der Detailseite finden Sie Informationen zur Verbindung und zum Zertifikat. Informationen zur Zertifikatstransparenz werden ebenfalls angezeigt, sofern verfügbar.

Hauptdetails zur Quelle.

Abbildung 6. Details zur Hauptquelle