Auftragseinbruch durch SSL ?

[mitlaser]

moin,

meinem shop wollte ich etwas gutes tun und habe nun das längst überfällige ssl cert installiert.
seitdem ist nahezu totenstille im shop.
reiner zufall, oder kann es direkt/indirekt damit zusammen hängen?
habe den shop in verschiedenen browsern ausprobiert und keinen fehler feststellen können..
kann sich die google listung dadurch negativ verändern ??

herzlichen dank und gruß
manu

 

[3po]

AW: Auftragseinbruch durch SSL ?

ohne link wird es schwierig was zu sagen? Generell würde ich sagen hängt es damit zusammen, jedoch nicht weil SSL schlecht ist sondern eher weil wahrscheinlich settings falsch sind

 

[XYZ]

AW: Auftragseinbruch durch SSL ?

Liegt eventuell an einer fehlerhaften .htaccess für das Hauptverzeichnis. Es kann sein, das Google Deine Seiten jetzt zusätzlich noch mit "https://ssl. ..." indiziert und somit Duplicate Content vorliegt.

 

[mercury]

AW: Auftragseinbruch durch SSL ?

@XYZ

woher hast Du das? Ich kann mir gar nicht vorstellen, dass Google so blöd ist und http/https als double content zu werten?!

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

@mercury:
Google wertet es aus Duplicate, wenn die Subdomain NICHT die gleiche ist.
Sprich http://www.shopx.de und https://www.shopx.de sind für Google identisch; http://www.shopx.de und https://ssl.shopx.de NICHT.

Zurück zum Thema:
Hast du mal geschaut, ob nicht irgendwelche Zertifikatsfehler vorliegen (z.B. selbstzertifiziert, falscher Hostname, fehlende Ausstellerinfos o.ä.)?

 

[mercury]

AW: Auftragseinbruch durch SSL ?

Sprich shopx und https://www.shopx.de sind für Google identisch; shopx und https://ssl.shopx.de NICHT

Das wäre nicht nur für Google so. Das sehe ich selber genauso!

 

[XYZ]

AW: Auftragseinbruch durch SSL ?

@XYZ

woher hast Du das? Ich kann mir gar nicht vorstellen, dass Google so blöd ist und http/https als double content zu werten?!

Hatte ich damals mit Zen-Cart, ist aber schon nen Weilchen her, deshalb habe ich auch dieses in meine .htaccess stehen:

RewriteCond %{SERVER_PORT} ^443$
    RewriteRule ^robots.txt$ robots_https.txt

und in der robots_https.txt

User-agent: *
Disallow: /

Gibt hier auch irgendwo einen Thread dazu...

Inwieweit das jedoch den JTL-Shop3 betrifft und ob überhaupt, keine Ahnung.

 

[ag-websolutions.de]

AW: Auftragseinbruch durch SSL ?

da der Shop3 nicht über einen ssl-Proxy läuft (was der Subdomänen-Varinate entspricht), sondern ein vollwertiges Zertifikat auf der Hauptdomäne voraussetzt, ist dieses Problem nicht relevant.
Daneben werden im Shop3 ja nicht alle Seiten verschlüsselt, sondern nur die auf denen persönliche Daten abgefragt werden.

 

[mercury]

AW: Auftragseinbruch durch SSL ?

kann sich die google listung dadurch negativ verändern ??

es wäre ja hilfreich zu unterscheiden, ob Du nach dem SSL Update "weniger Besucher" verzeichnest, oder mehr "Bestellabbrüche"?

Nutzt Du kein Tracking (GA,Piwik,etracker usw.)?

ich habe heute bei mir selbst z.B. entdeckt, dass ich eine css per unsicherem Link ins SSL eingebunden hatte, was der aktuelle FF und der aktuelle Chrome die ich immer benutze überhaupt nicht anmeckerten, aber der IE10, den ich heute mal probierte, gab hiervor sehr wohl eine Warnung "unsichere Objekte" aus. Für manchen Benutzer ist das sicher ein Grund zum Abbruch...

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

Nicht nur der IE meckert bei unsicherem Nachladen. Auch der FF macht das!
Jedoch wird nicht jede CSS von jedem Browser geladen - u.a. wegen der Einstellungen im Script, welche CSS von welchem Browser geladen wird.

Fakt ist, dass sämtliche internen Links KEINE absoluten URLs sein sollten (also nicht http://www.shopx.de/img/abc.jpg), sondern nur einen relativen Pfad bzw. einen absoluten Pfad auf der gleichen Domain verwenden sollten (im Beispiel dann /img/abc.jpg). Damit kann man vermeiden, dass das Problem mit dem unsicheren Nachladen auftritt (denn wenn eine Seite dann per https aufgerufen wird, wird auch der Rest per https abgerufen).

Noch was zum Zertifikat:
Habt ihr das Zertifikat mal geprüft, ob's auch für die richtige (Sub)Domain ausgestellt ist? Sofern der CN-Eintrag des Zertifikats NICHT mit dem Servernamen übereinstimmt, meckern viele Browser rum!
Und Wildcard-Zertifikate enthalten dabei auch einen Fallstrick: Ein Wildcard-Zertifikat für *.shopx.de gilt für alle Subdomains erster Ordnung (z.B. shopx), aber es gilt NICHT für die Hauptdomain shopx.de und auch NICHT für Subdomains zweiter Ordnung (abc.shopx)

 

[mitlaser]

AW: Auftragseinbruch durch SSL ?

moin..
erstmal sorry for delay, war ne zeitlang beschäftigt und kam eben erst dazu, hier mal wieder reinzuschaun.
danke für eure hilfe.. versthe aber nich alles..
also es ist wohl so, dass vom ablauf her alles ohne fehler funktioniert. ganz vereinzelt trudeln ja noch aufträge ein.
mit 3po hatte ich pm, er hat eine testbestellung getätigt und konnte auch keinen fehler feststellen.
das mit der htaccess übersteigt meine fähigkeiten, da begreif ich nich mal worum es da geht..
mit den bestellabbrüchen hab ich keine ahnung, wie ich das erkennen kann. hab kurz nach dem ssl dann auch analytics installiert, aber noch so viel artikel nachgebessert und geändert, dass da keine aussagefähigen zahlen rauskommen können.
nur um mal ne hausnummer zu nennen : vor ssl ca. 5.8 aufträge/woche , seit ssl ca. 2-3 im monat..
bin kurz davor, das ssl wieder abzuschalten und mal ein paar tage abzuwarten, ob sich da was tut..
falls noch jemand ne idee hat, wo ich als dau dran drehen kann. immer gerne..
schönen restabend
manu

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

Schalte SSL bloß nicht ab! Ich würde keine Daten mehr ohne SSL übertragen.
Kann es sein, dass du ziemlich viele Artikel geändert hat? Das würde ggf. heißen, dass du bei Google wegen Content-Änderung nicht mehr oben gelistet bist.

 

[mitlaser]

AW: Auftragseinbruch durch SSL ?

ich hab eine zusätzliche kategorie online gestellt.. fly by wire sozusagen.. also artikel für artikel und dabei natürlich 100 mal kontrolliert alles..
an den vorhandenen artikeln und kat hab ich nix geändert..

 

[_simone_]

AW: Auftragseinbruch durch SSL ?

Schalte SSL bloß nicht ab! Ich würde keine Daten mehr ohne SSL übertragen.

Werden denn die Daten vom Shop zur Wawi verschlüsselt übertragen?

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

@_simone_
Kommt drauf an, wie du den Connector einrichtest
Du kannst den Connector ja ggf. auch via HTTPS ansprechen statt über HTTP.

 

[_simone_]

AW: Auftragseinbruch durch SSL ?

@_simone_
Kommt drauf an, wie du den Connector einrichtest
Du kannst den Connector ja ggf. auch via HTTPS ansprechen statt über HTTP.

Ah, ok, und beim JTL- Shop? Und beim JTL- Hosting? Und die e-mails aus der Wawi oder shop? Gehen doch mit den Kundendaten auch im Klartext über das Kabel. SSL bei Konto- und Kreditkarteninformationen ist ein Muss, aber bei den Kundendaten ist das doch Augenwischerei. Oder sehe ich da was falsch?

 

[casim]

AW: Auftragseinbruch durch SSL ?

psssssssstttttttttt .... zerstöre nich das manifestierte Weltbild der Glückseligkeit was SSL angeht

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

@casim:
Mir sind die Probleme von SSL sehr wohl bekannt (u.a. die Anfälligkeit für Man-in-the-Middle-Attacken, da bei jedem Verbindungsaufbau zwischen Client und Server ein neuer Schlüssel ausgehandelt wird, weiterhin aber auch die Problematik mit den Stammzertifikaten und den zurückgezogenen Zertifikaten)...

Jedoch geht's prinzipiell erst einmal darum, dass die Kundendaten bei der Übertragung zum Shop, bei der ggf. auch sensible Zahlungsinfos versendet werden, geschützt sind.
Wie der Shopinhaber die Daten dann abfragt, liegt nicht mehr im Einflussbereich des Kunden - jedoch ist der Shopbetreiber gem. BDSG verpflichtet, sorgfältig mit den Daten umzugehen und sie gegen fremde Einflussnahme zu schützen (inwiefern dies immer möglich ist, stehe hierbei auf einem anderen Blatt). Sollte er also sorglos die Daten per HTTP übertragen und ein Angriff bzw. ein Ablauschen passieren, haftet der Shopbetreiber für den dadurch dem Kunden entstandenen Schaden (sofern dieser nachweisen kann, dass es durch diesen Angriff passiert ist).

Nur so: Die Daten werden ja selbst in der DB unverschlüsselt abgelegt - ergo könnte jedermann mit Zugriff auf den SQL-Server oder dessen Dateien die Daten auslesen...

Zum Thema eMail:
eMails werden aufgrund der SMTP-Spezifikation zwischen verschiedenen Mailservern (MTA) unverschlüsselt übertragen. Sollten jedoch beide MTA eine Verschlüsselung unterstützen, erfolgt i.d.R. auch die Verwendung (hängt aber vom MTA und dessen Konfiguration ab - wobei hier die gleichen Einschränkungen wie bei HTTPS gelten). Die Verbindung MTA - MUA (sprich Mailserver - Kunde) kann entweder verschlüsselt oder unverschlüsselt erfolgen.
Am eigenen Server zwinge ich z.B. alle Nutzer auf verschlüsselte Verbindungen (entweder SSL oder TLS) - unverschlüsselte Verbindungen werden seitens des MTA abgelehnt.

Übrigens noch ein Grund für Verschlüsselung:
Passwörter werden nur so gesichert übertragen - deshalb kann ich auch nur jedem Nutzer von FTP abraten.
Denn bedenkt: Sollte die Nutzerkennung im Onlineshop ggf. mitsamt dem Passwort ausgelesen werden, so hast du das Problem, dass ggf. Bestellungen eingehen, die vom Kunden nicht getätigt wurden. Im "besten" Fall entstehen dir keine Kosten (weil keine Vorkassezahlung eingeht), im dümmsten Fall sendest du eine Bestellung auf Rechnung raus und siehst weder Geld noch Ware. Und ein Einfordern der Ware / des Geldes dürfte dann aufgrund der geklauten Daten kaum möglich sein.

 

[casim]

AW: Auftragseinbruch durch SSL ?

Die Daten werden ja selbst in der DB unverschlüsselt abgelegt

Das stimmt so global nicht. Der sensible Teil der Kundendaten wird mittels blowfish-Key verschlüsselt in der DB abgelegt.

 

[reneromann]

AW: Auftragseinbruch durch SSL ?

@casim:
Und wo steht der Blowfish-Key? Ach ich vergaß - in gleicher Datenbank bzw. in den Config-Dateien des Shops, die i.d.R. auf dem gleichen Rechner liegen. Damit ist dann quasi die Sicherheit der Verschlüsselung ausgehebelt, weil du den Schlüssel zum Entschlüsseln quasi gleich neben die verschlüsselten Daten gelegt hast.

Einzig bei Passwörtern bringt das Blowfish-Verfahren (wie jedes andere Hash-Verfahren auch) in Kombination mit einem "Salt" zum Salted Hash etwas - denn dabei geht's ja nicht darum, dass die Daten später nochmal ausgelesen werden können, sondern nur darum, dass am Ende eine Prüfung gegen den Hash (sprich das gespeicherte Passwort) erfolgen kann.

Bei allen Daten, die später aus der DB wieder im Klartext ausgelesen werden können müssen, bringt eine Verschlüsselung kaum etwas - zumindest solange nicht, wie der Schlüssel auf dem gleichen Rechner abgelegt ist. Vergleichbar ist das mit der PIN auf der EC/Kreditkarte...

Aber zurück zum Thema:
Die Frage des TE war ja ursprünglich, warum seine Umsätze/Bestellungen eingebrochen sind - eventuell würde hier ein Link auf die Website Klarheit schaffen... Ggf. liegt das Problem auch am Template selbst - denn wenn im Template hardcoded auf die Nicht-HTTPS-Seite verwiesen wird (z.B. für Grafiken / CSS o.ä.) so zeigt der IE9/IE10 diese Sachen standardmäßig nicht an - und warnt auch nicht, dass dort Sachen unsicher nachgeladen werden müssten. Der Firefox hingegen lädt den unsicheren Inhalt einfach nach.

Was noch sein "kann": Viele der bisherigen Kunden sind über Suchmaschinen zu euch gekommen - und aufgrund der Sortimentsumstellung bzw. aufgrund von Duplicate Content (ssl.xxx statt XXX.xxx - Official .XXX Directory) oder anderer fehlerhafter Einstellungen beim Google-Upload werden die Daten nicht mehr von Google angezeigt. Hier wäre zu prüfen, ob z.B. der AdWords-Upload stattfindet und passt - ansonsten meckert google mächtig rum und sperrt auch mal ganz schnell.
Vielleicht sind deine Preise im Vergleich mit der Konkurrenz aber auch zu schlecht, so dass ein Kunde, welcher über Google kommt, eher die Konkurrenz auswählt...
Und die Sachen sind zufällig mit der Einführung von SSL zusammengefallen...