Über den Bereich Sicherheit in den Chrome-Entwicklertools können Sie überprüfen, ob HTTPS auf einer Seite richtig implementiert ist. Unter Warum ist HTTPS wichtig? erfahren Sie, warum jede Website mit HTTPS geschützt werden sollte. Das gilt auch für Websites, die keine vertraulichen Nutzerdaten verarbeiten.
Steuerfeld „Sicherheit“ öffnen
Der Bereich Sicherheit ist der Hauptbereich in den Entwicklertools zur Prüfung der Sicherheit einer Seite.
- Öffnen Sie die Entwicklertools.
Klicken Sie auf den Tab Sicherheit, um den Bereich Sicherheit zu öffnen.
Abbildung 1. Der Bereich „Sicherheit“
Häufige Probleme
Nicht sichere Hauptursprünge
Wenn der Hauptursprung einer Seite nicht sicher ist, wird in der Sicherheitsübersicht die Meldung Diese Seite ist nicht sicher angezeigt.
Abbildung 2. Eine nicht sichere Seite
Dieses Problem tritt auf, wenn die von Ihnen besuchte URL über HTTP angefordert wurde. Um sie abzusichern, müssen Sie sie über HTTPS anfordern. Wenn Sie sich beispielsweise die URL in der Adressleiste ansehen, sieht sie wahrscheinlich so ähnlich aus wie http://example.com. Damit die URL sicher ist, sollte sie https://example.com lauten.
Wenn Sie auf Ihrem Server bereits HTTPS eingerichtet haben, müssen Sie lediglich Ihren Server so konfigurieren, dass alle HTTP-Anfragen zu HTTPS weitergeleitet werden, um dieses Problem zu beheben.
Wenn Sie auf Ihrem Server kein HTTPS eingerichtet haben, bietet Let's Encrypt einen kostenlosen und relativ einfachen Weg, den Prozess zu starten. Alternativ können Sie Ihre Website auch in einem CDN hosten. Die meisten großen CDNs hosten Websites jetzt standardmäßig mit HTTPS.
Tipp: Mit der Prüfung HTTP-Traffic zu HTTPS weiterleiten in Lighthouse kann die Weiterleitung aller HTTP-Anfragen zu HTTPS automatisiert werden.
Mixed content
Gemischter Inhalt bedeutet, dass der Hauptursprung einer Seite sicher ist, die Seite jedoch Ressourcen von nicht sicheren Ursprüngen angefordert hat. Seiten mit gemischten Inhalten sind nur teilweise geschützt, da die HTTP-Inhalte für Sniffer zugänglich und anfällig für Man-in-the-Middle-Angriffe sind.
Abbildung 3. Mixed content
In Abbildung 3 oben wird durch Klicken auf 1 Anfrage im Feld "Netzwerk" ansehen der Bereich Netzwerk geöffnet. Hier wird der Filter mixed-content:displayed angewendet, sodass das Netzwerklog nur nicht sichere Ressourcen anzeigt.
Abbildung 4. Gemischte Ressourcen im Netzwerkprotokoll
Details ansehen
Ursprungszertifikat ansehen
Klicken Sie unter Sicherheitsübersicht auf Zertifikat ansehen, um das Zertifikat der Hauptquelle schnell zu prüfen.
Abbildung 5. Ein Hauptursprungszertifikat
Ursprungsdetails ansehen
Klicken Sie im linken Navigationsbereich auf einen der Einträge, um die Details des Startorts aufzurufen. Auf der Detailseite können Sie sich Informationen zur Verbindung und zum Zertifikat ansehen. Sofern verfügbar, werden auch Informationen zur Zertifikatstransparenz angezeigt.
Abbildung 6. Details zum Hauptursprung