HTTPS-Betrieb

Am 31.03.2021 wurden die Webserver auf einen reinen HTTPS-Betrieb umgestellt, so dass die Kommunikation zwischen Browser und Server ausschließlich verschlüsselt stattfindet. Alle HTTP-Anfragen und veröffentlichten URLs behalten ihre Gültigkeit und werden automatisch auf HTTPS weitergeleitet.

Neue VHosts wurden bereits seit dem 07.07.2020 standardmäßig als HTTPS-only angelegt.

Mögliche Probleme kann es geben, wenn Ressourcen noch mit HTTP anstatt mit HTTPS eingebunden sind. Lesen Sie dazu den Abschnitt "Maßnahmen und Empfehlungen". Bilder, die nur via HTTP eingebunden sind, zeigen die Browser i.a. an, sonstige (unsichere) Ressourcen (iframe, script etc.) werden meistens geblockt. Das kann dazu führen, dass Teile Ihrer Webseiten weiß bleiben oder Funktionen den Besuchern nicht zur Verfügung stehen.

Mit der Umstellung auf reinen HTTPS-Betrieb ist zu beachten, dass das alte Root-Zertifikat am 01.09.2021 abläuft (Root-Zertifikate sind in den Clients/Browsern installiert, um eine Vertrauenskette mit dem Webserverzertifikat herstellen zu können). Beim Austausch eines Root-Zertifikats können u.U. Probleme bei Betriebssystemen auftreten, die nicht mehr gewartet werden. Das neue Root-Zertifikat wird daher nicht mehr automatisch auf älteren Betriebssystemen installiert. Diese können, falls kein manuelles Update erfolgt, dann nicht mehr auf die Webseiten zugreifen. Dies betrifft unter anderen Android-Geräte mit Versionen älter als 7.1.1.

Maßnahmen und Empfehlungen

Sie sind Redakteur*in für Webseiten im OpenText WSM

  • Achten Sie darauf, ausschließlich HTTPS-Links zu verwenden.
  • Im OpenText WSM ist auf den Seiten unten links im Bearbeitungsfenster ein Link-Symbol sichtbar. Mit einem Klick darauf erhalten Sie ein Liste von zu prüfenden Links. Bitte passen Sie die Referenzierungen an und verwenden Sie nur noch HTTPS.
     
  • Im OpenText WSM finden Sie ein rotes Warndreieck als Hinweis darauf, dass diese Seite unsichere Verbindungen für Einbindungen verwendet. Mit einem Mouse Over sehen Sie die Elemente, auf die sich diese Warnung bezieht.

    Rotes Warndreieck: bitte passen Sie die Referenzierungen an und verwenden Sie nur noch HTTPS.

     

    Weißes Warndreieck: dient zur Information. Verwenden Sie wenn möglich sichere Ziele (HTTPS).

     
  • Verwenden Sie die Suche, um händisch gesetzte Links oder Verweise zu finden:
    • Gehen Sie auf den Reiter „Suche“.
    • Geben Sie dort als Suchkriterium „Inhalt“ -> „ähnlich wie“ und als Suchbegriff „http:“ ein.
      Sie können auch „src="http:“ angeben, um nur die ganz kritischen Stellen zu suchen.
    • Klicken Sie auf „Speichern“. Dann im Dialog ganz oben „Eigene Suchen“ auswählen und darunter einen Namen vergeben, z.B. „Unsichere Verlinkungen“.
      Sie haben nun diese Anfrage gespeichert, sie steht Ihnen immer zur Verfügung, auch beim nächsten Login.
    • Gehen Sie wieder auf SmartEdit und klicken in den Seitenpanels auf die Suche (zweites Symbol mit Lupe). Hier wählen Sie oben unter „Eigene Suchen“ Ihre abgespeicherte Suchanfrage aus. Sie erhalten eine Liste aller Seiten mit „http:“.
    • Durch Klick auf den blauen Pfeil landen Sie auf dieser Seite.
    • Der Vorteil an diesem Vorgehen: Die Suchergebnisse sind immer aktuell und man kann sehr schnell von einer Seite zur nächsten springen.

Sie betreiben einen eigenen virtuellen Webserver oder arbeiten mit eigenen Erweiterungen

Eigene Erweiterungen sind z. B. ein Blog, Typo3 oder eine eigene Datenbankanwendung.

  • Unverschlüsselte Ressourcen (z. B. Bilder, JavaScript-Dateien,...) mit absoluter Adresse müssen mit HTTPS eingebunden werden.
  • Einen ersten Überblick über vermutlich problematische Seiten auf Ihrem Webauftritt (Login mit Webservice-Account):
    https://FQDN/global-cgi-bin/csp-stats Hier werden nur die kürzlich abgerufen Seiten protokolliert. Die Ausgabe ist jedoch mit Vorsicht zu betrachten, da sie nicht unbedingt Webseiten-Probleme zeigt, sondern auch gerne Probleme von Browser-Plugins der Besucher.
  • Einen Überblick über Seiten mit möglichen Problemen erhalten Sie über folgenden Skript-Aufruf (auf der Kommandozeile aus Ihrem Webserver-Verzeichnis):
    find . -xdev -type f \( -name \*.html -o -name \*.php -o -name \*.css \) -exec egrep -i '(<(script|link|iframe|object|audio|video)[^>]*|url\()http:' {} + (Zugang zum virtuellen Webserver)
  • Um eine Aussage über Ihre gesamte Site zu bekommen, empfehlen wir die Verwendung von Online-Tools wie beispielsweise HTTPSChecker oder Missing Padlock. Ein Vorteil von HTTPSChecker ist die Möglichkeit der lokalen Installation, um so auch Campus-only-Directories zu prüfen. Die genannten Tools haben in der kostenfreien Version eine Beschränkung der Anzahl der gescannten Seiten (Missing Padlock: 5000). Wenn Ihre Site mehr Seiten hat, empfehlen wir Ihnen die Verwendung einer unbeschränkten und damit kostenpflichtigen Version. Nur so erhalten Sie eine Aussage über Ihre gesamte Site.