Über den Bereich Sicherheit in den Chrome-Entwicklertools können Sie prüfen, ob HTTPS auf einer Seite richtig implementiert ist. Im Hilfeartikel Warum HTTPS wichtig ist erfahren Sie, warum jede Website mit HTTPS geschützt werden sollte – auch Websites, die keine sensiblen Nutzerdaten verarbeiten.
Übersicht
Im Bereich Sicherheit können Sie in den DevTools die Sicherheit einer Seite prüfen. Im Bereich Sicherheit erhalten Sie eine Übersicht über die Ursprünge Ihrer Seite, einschließlich HTTP-Sicherheitswarnungen, Ursprungsdetails und Zertifikaten.
Sicherheitsfenster öffnen
So öffnen Sie den Bereich Sicherheit:
- Öffnen Sie die Entwicklertools.
- Öffnen Sie das Befehlsmenü durch Drücken von:
- macOS: Befehlstaste + Umschalttaste + P
- Windows, Linux, ChromeOS: Strg + Umschalttaste + P
Geben Sie
security
ein, wählen Sie Sicherheitsbereich anzeigen aus und drücken Sie die Eingabetaste.Abbildung 1. Bereich „Sicherheit“
Alternativ können Sie rechts oben auf das Dreipunkt-Menü Weitere Optionen > Weitere Tools > Sicherheit tippen.
Häufige Probleme
Nicht sichere Hauptquellen
Wenn der Hauptursprung einer Seite nicht sicher ist, wird in der Sicherheitsübersicht die Meldung Diese Seite ist nicht sicher angezeigt.
Abbildung 2. Eine nicht sichere Seite
Dieses Problem tritt auf, wenn die von Ihnen besuchte URL über HTTP angefordert wurde. Aus Sicherheitsgründen sollten Sie sie über HTTPS anfordern. Wenn Sie sich beispielsweise die URL in der Adressleiste ansehen, sieht sie wahrscheinlich http://example.com
aus. Die URL sollte aus Sicherheitsgründen https://example.com
lauten.
Wenn du HTTPS bereits auf deinem Server eingerichtet hast, musst du zur Behebung dieses Problems lediglich deinen Server so konfigurieren, dass alle HTTP-Anfragen an HTTPS weitergeleitet werden.
Wenn Sie HTTPS nicht auf Ihrem Server eingerichtet haben, bietet Let's Encrypt eine kostenlose und relativ einfache Möglichkeit, den Prozess zu starten. Alternativ können Sie Ihre Website auch in einem CDN hosten. Die meisten großen CDNs hosten Websites jetzt standardmäßig mit HTTPS.
Mixed content
Gemischte Inhalte bedeutet, dass der Hauptursprung einer Seite sicher ist, aber die Seite Ressourcen aus nicht sicheren Quellen angefordert hat. Seiten mit gemischten Inhalten sind nur teilweise geschützt, da die HTTP-Inhalte für Sniffer zugänglich und anfällig für Man-in-the-Middle-Angriffe sind.
Abbildung 3. Mixed content
In Abbildung 3 wird durch Klicken auf 1 Anfrage im Netzwerkbereich ansehen der Bereich Netzwerk geöffnet und der Filter mixed-content:displayed
angewendet, sodass im Netzwerkprotokoll nur nicht sichere Ressourcen angezeigt werden.
Abbildung 4. Gemischte Ressourcen im Netzwerkprotokoll
Details ansehen
Hauptzertifikat ansehen
Klicken Sie auf der Seite Sicherheitsübersicht auf Zertifikat ansehen, um das Zertifikat des Hauptursprungs schnell zu prüfen.
Abbildung 5. Ein Zertifikat für den Hauptursprung
Ursprungsdetails ansehen
Klicken Sie auf einen der Einträge im linken Navigationsbereich, um die Details zum Ursprung aufzurufen. Auf der Detailseite können Sie die Verbindungs- und Zertifikatsinformationen einsehen. Informationen zur Zertifikatstransparenz werden ebenfalls angezeigt, sofern verfügbar.
Abbildung 6. Details zur Hauptquelle