Mixed-Content-Warnungen: Was sie bedeuten und wie man sie behebt

Jazmie Jamaludin

Sie haben alles richtig gemacht. Sie haben Ihre Website gesichert, sodass das kleine Vorhängeschloss in der Adressleiste erscheint – das beruhigende Zeichen, das Besuchern sagt, dass ihre Verbindung privat und sicher ist. Und dann, eines Tages, bemerken Sie, dass sich das Vorhängeschloss verändert hat. Vielleicht zeigt es jetzt ein kleines Warndreieck, vielleicht hat sich das Wort „Nicht sicher“ eingeschlichen, oder vielleicht fragt ein Besucher per E-Mail, warum Ihre Website plötzlich verdächtig aussieht. Sie haben nichts Offensichtliches geändert, was ist also passiert? Die Antwort ist meistens etwas, das als gemischter Inhalt (Mixed Content) bezeichnet wird, und es ist einer der häufigsten Gründe, warum eine perfekt sichere Website plötzlich Warnungen anzeigt.

Die gute Nachricht ist, dass gemischter Inhalt viel alarmierender klingt, als er ist. Sobald Sie verstehen, was er tatsächlich bedeutet, ist es relativ einfach, ihn zu finden und zu beheben. In diesem Leitfaden erklären wir, ohne jegliches technisches Vorwissen vorauszusetzen, was gemischter Inhalt ist, warum Browser so ein Aufhebens darum machen, wie Sie genau herausfinden, was ihn auf Ihrer Website verursacht, und welche praktischen Schritte Sie unternehmen können, um ihn dauerhaft zu beseitigen, damit Ihr Vorhängeschloss intakt bleibt und Ihre Besucher beruhigt sind.

Was „sicher“ tatsächlich bedeutet

Bevor wir uns dem gemischten Inhalt widmen, ist es hilfreich zu verstehen, was das Vorhängeschloss verspricht. Wenn Ihre Website sicher ist, wird jede Information, die zwischen Ihrem Besucher und Ihrer Website übertragen wird, verschlüsselt, so dass jeder, der sie abfängt, nur Kauderwelsch sieht. Dies schützt Passwörter, Zahlungsdetails und sogar nur die Seiten, die jemand liest. Die Technologie, die diese Verschlüsselung vornimmt, ist dieselbe, die auch Ihr SSL-Zertifikat antreibt, und das Vorhängeschloss ist die Art des Browsers, dem Besucher mitzuteilen: „Diese Verbindung ist privat, Sie können ihr vertrauen.“

Das Schlüsselwort dabei ist jeder. Damit der Browser eine vollständig private Verbindung versprechen kann, muss jedes einzelne Element auf der Seite – der Text, die Bilder, das Styling, die Skripte – alles über diesen sicheren, verschlüsselten Kanal ankommen. Wenn auch nur ein kleines Teil über eine alte, unverschlüsselte Verbindung eingeschmuggelt wird, kann der Browser nicht mehr ehrlich sagen, dass die gesamte Seite privat ist. Und genau das ist gemischter Inhalt.

Ein Vorhängeschloss ist ein Versprechen
Es sagt den Besuchern, dass die gesamte Seite privat ist, so dass ein einziges unsicheres Element dieses Versprechen für die gesamte Seite leise bricht.
Quelle: Google web.dev Leitfaden zu gemischtem Inhalt

Gemischter Inhalt, einfach erklärt

Gemischter Inhalt ist genau das, was der Name andeutet: eine Seite, die sichere und unsichere Teile mischt. Die Seite selbst lädt sicher, über die verschlüsselte Verbindung, aber irgendwo darin befindet sich eine Anweisung, etwas – vielleicht ein Bild, eine Schriftart, ein Video oder ein Skript – von einer alten, unverschlüsselten Adresse abzurufen. So erhalten Sie eine größtenteils sichere Seite, die eine oder mehrere unsichere Komponenten enthält.

Stellen Sie es sich wie eine versiegelte, manipulationssichere Verpackung vor, in die jemand ein kleines Loch geschnitten hat. Die Verpackung ist größtenteils sicher, aber diese eine kleine Lücke bedeutet, dass Sie nicht mehr garantieren können, dass nichts hinein- oder herausgeschmuggelt wurde. Der Browser sieht diese Lücke und weigert sich, der Seite eine vollständige „Gesundheitsbescheinigung“ zu erteilen. Je nachdem, um welche unsichere Komponente es sich handelt, zeigt der Browser entweder eine Warnung an oder blockiert bei risikoreicheren Komponenten diese komplett, was dazu führen kann, dass Teile Ihrer Seite kaputt oder fehlend sind.

Warum Browser so viel Wert darauf legen

Es mag übertrieben erscheinen, eine gesamte sichere Seite wegen eines unsicheren Bildes abzuwerten. Aber der Browser hat einen guten Grund. Alles, was über eine unverschlüsselte Verbindung abgerufen wird, kann auf dem Weg zum Besucher abgefangen und manipuliert werden. Ein harmlos aussehendes unsicheres Skript könnte zum Beispiel unbemerkt durch ein bösartiges ersetzt werden. Indem Browser gemischten Inhalt lautstark kennzeichnen, schützen sie Besucher vor einem realen, wenn auch unsichtbaren Risiko. Es ist derselbe Schutzinstinkt, der das umfassendere Thema antreibt, wie Zertifikate eine Website vertrauenswürdig halten.

Die zwei Arten von gemischtem Inhalt

Nicht jeder gemischte Inhalt wird gleich behandelt. Browser ordnen ihn in zwei Gruppen ein, je nachdem, wie gefährlich der unsichere Bestandteil ist, und die Kenntnis des Unterschieds sagt Ihnen, wie dringend die Behebung ist.

Die zwei Arten von gemischtem Inhalt und wie Browser sie behandeln
Art Typische Inhalte Was der Browser tut
Passiv Bilder, Audio, Video Zeigt eine Warnung an, schwächt das Vorhängeschloss
Aktiv Skripte, Styling, Schriftarten Blockiert es oft, kann die Seite beschädigen
Beide Arten Eingebettete Inhalte Entfernt den sicheren Status

Passive gemischte Inhalte, wie ein unsicheres Bild, sind die mildere Art. Sie können nicht leicht gegen den Besucher verwendet werden, daher zeigt der Browser in der Regel nur eine Warnung an und schwächt das Vorhängeschloss. Aktive gemischte Inhalte, wie ein unsicheres Skript oder Styling, sind weitaus riskanter, da sie das Verhalten der gesamten Seite ändern können. Browser neigen dazu, diese komplett zu blockieren, weshalb aktive gemischte Inhalte oft als sichtbar defekte Seite und nicht nur als Warnung erscheinen. Zu erkennen, womit Sie es zu tun haben, hilft Ihnen, die Dringlichkeit der Behebung einzuschätzen, und passt gut zu den anderen häufigen Website-Fehlern, denen Sie begegnen könnten.

Warum gemischter Inhalt überhaupt auftaucht

Gemischter Inhalt entsteht selten aus dem Nichts. Er ist fast immer auf eine von wenigen alltäglichen Situationen zurückzuführen, und diese zu kennen, hilft Ihnen sowohl bei der Behebung als auch bei der Vermeidung.

Die Seite wurde kürzlich gesichert

Dies ist bei weitem die häufigste Ursache. Wenn eine Website von einer alten, unsicheren Einrichtung auf eine sichere umgestellt wird, ändern sich die Seitenadressen, aber die vielen Verweise, die in den Inhalten eingebettet sind und auf Bilder, Skripte usw. zeigen, verwenden oft immer noch die alten, unsicheren Adressen. Die Seite selbst ist nun sicher, aber sie fordert ihre Komponenten immer noch auf die alte Weise an. Dies ist eine klassische Nebenwirkung einer Website-Migration, was ein Grund dafür ist, warum sorgfältige Planung bei jeder Änderung der Einrichtung Ihrer Website im Laufe der Zeit wichtig ist.

Inhalte wurden mit alten Adressen kopiert

Manchmal fügt jemand ein Bild, ein eingebettetes Video oder einen Code-Schnipsel ein, der eine alte, unsichere Adresse mit sich trägt. Alles sieht im Editor gut aus, aber diese eine unsichere Komponente bricht leise den sicheren Status der Seite. Dies neigt dazu, sich schleichend einzuschleichen, weshalb eine regelmäßige Website-Gesundheitsprüfung so gut darin ist, dies zu erkennen.

Ein externer Dienst verwendet noch alte Adressen

Wenn Ihre Seite etwas von einem anderen Dienst abruft – eine Schriftart, ein Widget, ein Tracking-Tool – und dieser Dienst es immer noch unsicher bereitstellt, erben Sie deren Problem mit gemischten Inhalten. Die Lösung besteht hier manchmal darin, auf eine neuere Version des Dienstes zu aktualisieren oder eine sichere Alternative zu finden.

Eine alte Adresse genügt
Die meisten Warnungen vor gemischtem Inhalt gehen auf einen einzigen unsicheren Verweis zurück, der nach der Sicherung einer Website zurückgeblieben ist, wodurch sie viel einfacher zu beheben sind, als es zunächst scheint.
Quelle: Mozilla MDN Web Docs zu gemischtem Inhalt

Wie man die Ursache findet

Sie können gemischten Inhalt erst beheben, wenn Sie genau wissen, welcher Bestandteil unsicher ist, und glücklicherweise wird Ihr Browser es Ihnen sagen, wenn Sie ihn freundlich fragen. Ein paar Ansätze werden jeden Übeltäter identifizieren.

Fragen Sie direkt den Browser

Jeder moderne Browser verfügt über ein integriertes Panel, oft als Entwicklertools bezeichnet, das jede Warnung vor gemischtem Inhalt auf einer Seite auflistet, zusammen mit der genauen unsicheren Adresse, die dafür verantwortlich ist. Sie müssen kein Technikexperte sein, um es zu lesen. Öffnen Sie das Panel auf einer Seite, die eine Warnung anzeigt, suchen Sie nach den Meldungen, die auf unsichere oder gemischte Inhalte hinweisen, und Sie werden genau sehen, was auf die alte Weise geladen wird. Es ist der schnellste Weg von „etwas stimmt nicht“ zu „hier ist das Problem“.

Scannen Sie die gesamte Website

Das Überprüfen einzelner Seiten ist für eine kleine Website in Ordnung, aber für größere Websites benötigen Sie ein Tool, das jede Seite durchsucht und alle gemischten Inhalte auf einmal meldet. Dies ist die gleiche Art von automatisiertem Scan, der verwendet wird, um defekte Links und andere Probleme auf einer gesamten Website aufzuspüren, und spart enorme Mengen an Zeit.

Überprüfen Sie Ihre Aufzeichnungen

Ihr Server protokolliert jede Anfrage, und unsichere Anfragen erscheinen dort ebenfalls, oft offenbaren sie Muster, die Sie beim Surfen nicht bemerken würden. Das Durchsehen dieser Protokolle, mit Hilfe unseres Leitfadens zum Lesen von Website-Protokollen, gibt Ihnen eine weitere Perspektive darauf, wo unsichere Komponenten eindringen.

Gemischten Inhalt endgültig beheben

Sobald Sie wissen, welche Adressen die Übeltäter sind, sind die Korrekturen erfrischend direkt. Der Kerngedanke ist fast immer derselbe: Ändern Sie die unsichere Adresse in ihr sicheres Äquivalent. In der überwiegenden Mehrheit der Fälle ist dieselbe Ressource bereits über eine sichere Verbindung verfügbar, sodass die Korrektur einfach darin besteht, auf die sichere Version anstelle der alten zu verweisen.

Für Inhalte, die Sie kontrollieren, bedeutet dies, die Verweise innerhalb Ihrer Seiten zu aktualisieren, damit sie alle ihre Bestandteile sicher anfordern. Viele Plattformen bieten eine Möglichkeit, dies massenhaft zu tun, indem sie Ihre Inhalte durchsuchen und jede alte unsichere Adresse auf einmal aktualisieren, was auf einer großen Website ein Segen ist. Bei Inhalten, die von einem externen Dienst abgerufen werden, besteht die Lösung entweder darin, auf eine Version dieses Dienstes zu aktualisieren, die sicher bereitstellt, oder zu einem anderen Anbieter zu wechseln, der dies tut. Und für die seltene Zutat, die einfach nirgendwo sicher verfügbar ist, ist die ehrliche Antwort, sie durch etwas zu ersetzen, das es ist.

Neue Inhalte standardmäßig sicher machen

Die beste Lösung ist die, die das Problem nicht wieder auftreten lässt. Wenn Sie zukünftig Bilder, Einbettungen oder Code hinzufügen, machen Sie es sich zur Gewohnheit, zu überprüfen, ob alles sichere Adressen verwendet, bevor Sie veröffentlichen. Diese kleine Prüfung in Ihre Routine einzubauen, vielleicht als Punkt auf Ihrer Wartungscheckliste, verhindert, dass gemischter Inhalt im Laufe der Monate unbemerkt wieder auftaucht. In Verbindung mit einem Uptime-Monitoring, das Ihren sicheren Status überwacht, erfahren Sie schnell, wenn eine Warnung erneut erscheint.

Warum sich der Aufwand lohnt

Es ist verlockend, eine Warnung vor gemischtem Inhalt abzutun, besonders wenn die Seite größtenteils noch funktioniert. Aber die Kosten sind real und schleichend zerstörerisch. Besucher, die ein kaputtes Vorhängeschloss oder eine „nicht sicher“-Meldung sehen, zögern, und auf einer Seite, auf der sie gerade ein Passwort oder Zahlungsdetails eingeben wollen, kann dieses Zögern den Unterschied zwischen einem abgeschlossenen Kauf und einem abgebrochenen ausmachen. Vertrauen, einmal beschädigt, baut sich nur langsam wieder auf.

Es gibt auch eine Suchdimension. Sichere Verbindungen werden von Suchmaschinen aktiv bevorzugt, und eine Website, die Sicherheitswarnungen anzeigt, sendet ein ungünstiges Signal über ihre Qualität und Sorgfalt. Das Beseitigen von gemischten Inhalten hält Sie auf der richtigen Seite dieser Präferenz und ergänzt die umfassendere Arbeit, eine saubere, vertrauenswürdige Website zu präsentieren, einschließlich der Sicherstellung, dass Seiten nicht unnötig gecrawlt, aber nicht indexiert werden. Ein ganzes, unversehrtes Vorhängeschloss ist eine Kleinigkeit, die viel darüber aussagt, wie ernst Sie Ihre Besucher nehmen.

Zusammenfassend

Gemischter Inhalt ist eines jener Probleme, das einschüchternd wirkt, bis man es versteht, woraufhin es fast schon befriedigend ist, es zu beheben. Es ist einfach eine Seite, die sichere und unsichere Teile mischt, wobei der Browser Einspruch erhebt, weil er keine vollständige Privatsphäre mehr versprechen kann, und die Heilung besteht darin, jeden Teil sicher zu machen. Die Ursachen sind wenige und bekannt, die Werkzeuge, um die Übeltäter zu finden, sind direkt in Ihren Browser integriert, und die Behebungen laufen meistens darauf hinaus, alte Adressen durch sichere zu ersetzen.

Wenn Ihr Vorhängeschloss also Warnungen zu blinken begonnen hat, geraten Sie nicht in Panik und ignorieren Sie es nicht. Öffnen Sie das Browser-Panel, finden Sie die unsicheren Komponenten, aktualisieren Sie sie auf ihre sicheren Äquivalente und etablieren Sie eine kleine Gewohnheit, um neue Inhalte sauber zu halten. Tun Sie das, und Ihr Vorhängeschloss bleibt intakt, Ihre Besucher bleiben beruhigt, und Ihre Website behält die leise, vollständige Vertrauenswürdigkeit, die gute Sicherheit liefern soll. Wenn Sie lieber möchten, dass ein Experte Ihre Website überprüft und richtig aufräumt, hilft Ihnen unser Team jederzeit gerne weiter.

Häufig gestellte Fragen

Ist gemischter Inhalt tatsächlich gefährlich oder nur eine lästige Warnung?+
Es kann je nach Art wirklich riskant sein. Ein unsicheres Bild ist meist ein Problem des Vertrauens und des Erscheinungsbildes, aber ein unsicheres Skript oder Styling kann auf dem Weg zum Besucher abgefangen und verändert werden, was diesen potenziell schädigen kann. Deshalb blockieren Browser die riskanteren Arten komplett. Selbst die milderen Fälle sollten behoben werden, da das defekte Vorhängeschloss das Vertrauen der Besucher unabhängig vom tatsächlichen Gefahrenniveau untergräbt.
Meine Seite sieht nach der Sicherung kaputt aus. Könnte das der Grund sein?+
Sehr wahrscheinlich, ja. Wenn ein Skript oder Styling auf einer sicheren Seite unsicher angefordert wird, blockiert der Browser es oft vollständig, um den Besucher zu schützen, und die fehlende Komponente kann dazu führen, dass die Seite kaputt, ungestylt oder mit fehlenden Funktionen erscheint. Das Öffnen des Entwickler-Panels Ihres Browsers zeigt Ihnen normalerweise die blockierten unsicheren Adressen, und deren Aktualisierung auf die sicheren Versionen stellt die Seite in der Regel sofort wieder her.
Muss ich jede einzelne Instanz beheben oder nur die offensichtlichen?+
Idealerweise jede einzelne Instanz. Eine Seite wird nur dann als vollständig sicher behandelt, wenn jede Komponente sicher geladen wird, sodass selbst ein übersehenes unsicheres Bild das Vorhängeschloss geschwächt lässt. Der praktische Ansatz besteht darin, die gesamte Website zu scannen, damit nichts übersehen wird, alles, was Sie kontrollieren, wenn möglich gebündelt zu beheben und dann externe Dienste separat zu behandeln. Das Ziel, eine komplett saubere Seite zu haben, ist die kleine zusätzliche Mühe wert.
Wie kann ich verhindern, dass nach der Behebung wieder gemischter Inhalt auftritt?+
Die zuverlässigste Prävention ist eine kleine Gewohnheit: Immer wenn Sie Bilder, Einbettungen oder Code hinzufügen, überprüfen Sie vor der Veröffentlichung, ob sie sichere Adressen verwenden. Darüber hinaus fängt ein regelmäßiger Scan Ihrer gesamten Website alles ab, was durchrutscht, und die Überwachung Ihres sicheren Status alarmiert Sie, wenn eine Warnung erneut auftaucht. Viele Plattformen können unsichere Anfragen auch automatisch aktualisieren, was als hilfreiches Sicherheitsnetz hinter Ihren eigenen guten Gewohnheiten dient.

Referenzen

  1. Google web.dev. „Was ist gemischter Inhalt?“ web.dev.
  2. Mozilla MDN Web Docs. „Gemischte Inhalte.“ developer.mozilla.org.
  3. Cloudflare Learning Center. „Was ist HTTPS?“ cloudflare.com.
Zurück zum Blog

AUTOMATISIEREN. OPTIMIEREN. DOMINIEREN.

Optimieren Sie Ihre Betriebsabläufe und bieten Sie ein reibungsloses Kundenerlebnis. Unsere Experten implementieren modernste Technologien und optimierte Arbeitsabläufe, damit Sie sich auf Ihre Kernkompetenzen konzentrieren können.

DISKUTIEREN SIE IHRE IDEEN