Sicherheit: Sicherheitsprobleme verstehen

Über den Bereich Sicherheit in den Chrome-Entwicklertools können Sie prüfen, ob HTTPS auf einer Seite richtig implementiert ist. Im Hilfeartikel Warum HTTPS wichtig ist erfahren Sie, warum jede Website mit HTTPS geschützt werden sollte – auch Websites, die keine sensiblen Nutzerdaten verarbeiten.

Übersicht

Im Bereich Sicherheit können Sie in den DevTools die Sicherheit einer Seite prüfen. Im Bereich Sicherheit erhalten Sie eine Übersicht über die Ursprünge Ihrer Seite, einschließlich HTTP-Sicherheitswarnungen, Ursprungsdetails und Zertifikaten.

Sicherheitsfenster öffnen

So öffnen Sie den Bereich Sicherheit:

  1. Öffnen Sie die Entwicklertools.
  2. Öffnen Sie das Befehlsmenü durch Drücken von:
    • macOS: Befehlstaste + Umschalttaste + P
    • Windows, Linux, ChromeOS: Strg + Umschalttaste + P
  3. Geben Sie security ein, wählen Sie Sicherheitsbereich anzeigen aus und drücken Sie die Eingabetaste.

    Das Sicherheitssteuerfeld.

    Abbildung 1. Bereich „Sicherheit“

Alternativ können Sie rechts oben auf das Dreipunkt-Menü Weitere Optionen > Weitere Tools > Sicherheit tippen.

Häufige Probleme

Nicht sichere Hauptquellen

Wenn der Hauptursprung einer Seite nicht sicher ist, wird in der Sicherheitsübersicht die Meldung Diese Seite ist nicht sicher angezeigt.

Eine nicht sichere Seite

Abbildung 2. Eine nicht sichere Seite

Dieses Problem tritt auf, wenn die von Ihnen besuchte URL über HTTP angefordert wurde. Aus Sicherheitsgründen sollten Sie sie über HTTPS anfordern. Wenn Sie sich beispielsweise die URL in der Adressleiste ansehen, sieht sie wahrscheinlich http://example.com aus. Die URL sollte aus Sicherheitsgründen https://example.com lauten.

Wenn du HTTPS bereits auf deinem Server eingerichtet hast, musst du zur Behebung dieses Problems lediglich deinen Server so konfigurieren, dass alle HTTP-Anfragen an HTTPS weitergeleitet werden.

Wenn Sie HTTPS nicht auf Ihrem Server eingerichtet haben, bietet Let's Encrypt eine kostenlose und relativ einfache Möglichkeit, den Prozess zu starten. Alternativ können Sie Ihre Website auch in einem CDN hosten. Die meisten großen CDNs hosten Websites jetzt standardmäßig mit HTTPS.

Mixed content

Gemischte Inhalte bedeutet, dass der Hauptursprung einer Seite sicher ist, aber die Seite Ressourcen aus nicht sicheren Quellen angefordert hat. Seiten mit gemischten Inhalten sind nur teilweise geschützt, da die HTTP-Inhalte für Sniffer zugänglich und anfällig für Man-in-the-Middle-Angriffe sind.

Gemischte Inhalte.

Abbildung 3. Mixed content

In Abbildung 3 wird durch Klicken auf 1 Anfrage im Netzwerkbereich ansehen der Bereich Netzwerk geöffnet und der Filter mixed-content:displayed angewendet, sodass im Netzwerkprotokoll nur nicht sichere Ressourcen angezeigt werden.

Gemischte Ressourcen im Netzwerkprotokoll.

Abbildung 4. Gemischte Ressourcen im Netzwerkprotokoll

Details ansehen

Hauptzertifikat ansehen

Klicken Sie auf der Seite Sicherheitsübersicht auf Zertifikat ansehen, um das Zertifikat des Hauptursprungs schnell zu prüfen.

Ein Haupt-Ursprungszertifikat.

Abbildung 5. Ein Zertifikat für den Hauptursprung

Ursprungsdetails ansehen

Klicken Sie auf einen der Einträge im linken Navigationsbereich, um die Details zum Ursprung aufzurufen. Auf der Detailseite können Sie die Verbindungs- und Zertifikatsinformationen einsehen. Informationen zur Zertifikatstransparenz werden ebenfalls angezeigt, sofern verfügbar.

Hauptdetails zur Quelle.

Abbildung 6. Details zur Hauptquelle