Neu Google Chrome meldet SSL unsicher

[oxident]

Hallo

habe heute eine Mail von Google bekommen, mein JTL 4.04 Shop sei unsicher, weil Passwortabfrage von http Seiten möglich wären. Soweit die Mail

Der neue Chrome meldet aber nur Bilder könnten unsicher sein. Über Firefox wird sichtbar, unter https sind die "Element-Bilder" wie Logo, etc. alle als http und nicht als https eingebunden und deshalb wären auch die https Seiten nur teilweise sicher.

Wie kann ich diese Elementbilder (nicht die Produktbilder) so einstellen, dass diese auch über https laufen?

Danke für jeden Tipp

 

[Michael_H]

Ich nehme an, Du hast einen oxid- shop:

[{$oViewConf->getImageUrl()}]DeinBild.jpg"

 

[Michael_H]

JTL shop wird so ähnlich sein, die mail habe ich heute auch bekommen, mein e-mail-Programm hat die mail als Phishing-Versuch eingestuft.

 

[oxident]

@Michael

nee JTL Shop 4.04

 

[Michael_H]

Hier, Jtl- shop hat wohl smarty:

http://developer.jtl-software.de/projects/template-dev/wiki/Anpassung_von_Tpl-Dateien

 

[oxident]

Danke. Da ich kein Programmierer bin, stellt sich für mich die Frage, wo genau ich die Einstellung für den JTL Shop 4.04 vornehmen muss

Vielleicht hier noch ein Hinweis:

Angeblich sieht Chrome auf der Seite ...../registrieren.php einen mixed Modus.

Angeblich werden Bilder (Kategoriebild u.a.) auf der https Seite registrieren.php über http: eingebunden. Interssanterweise sehe ich diese Bilder auf der entsprechenden Seite nicht.

Chrome vermeldet aber eben eine Fehlermeldung bzgl. dieser Bilder

 

[Michael_H]

"Da ich kein Programmierer bin,"

Aber Du hast doch die Elementbilder selber eingefügt? Wenn Du im shop nur einen Editor oder so hast, wird es schon stimmen und JTL wissen, was es tut. Ansonsten absolut mit https oder mit smarty-Variable!

In der Mail von Google-Chorme steht bei mir zumindest, daß irgendwelche http-Seiten unsicher seien. Da der Shop aber komplett unter https läuft, gibt es diese Seiten gar nicht.

Ich nehme an, daß die Email nur eine Marketingmaßnahme ist, um sich bei Google Merchant anzumelden oder so ähnlich. Ich möchte auch wissen, wie google an meine Email kommt, Vielleicht eher was für einen Abmahnverein!

 

[oxident]

Die Bilder habe ich nicht eingebaut. Es wird z.B. auch das Warenkorb Bild angemeckert. Der Shop läuft nicht komplett unter https, sondern erst wenn Daten eingegeben werden. Und eben genau diese https Seiten sollen Elemente mit http enthalten. Ich nutze einen 4.04 Shop. Da wurde nix umgestellt..

Ich stelle jetzt den Shop komplett auf https um, mal sehen was passiert

 

[Michael_H]

Ein shop ohne komplett SSL ist ein wenig schneller.
Was hast Du denn für ein Protkoll? Bist Du auf einem shared-proxy mit SSL ohne Identitätsprüfung oder hast Du ein gekauftes Zertifikat?

 

[oxident]

Zertifikat mit Prüfung. Habe jetzt den Shop komplett auf SSL umgestellt. Warnmeldung weg. In der Mail steht auch, langfristig sollen ALLE http Seiten von Chrome mit einer Warnmeldung angezeigt werden, egal ob Shop oder nicht

 

[Michael_H]

Dann ist es ja egal, ob es unsicher ist, weil alle http -Seiten unischer sind, oder ob irgendwo, bei Chrome nocht steht, Dap es das Warenkorb-Bild sein, was dann ja offensichtlich nicht stimmt, weil ja alle http-Seiten an sich schon unsicher sind. Ich denke nicht, daß sich da eine Lösung finden läßt, wenn Chrome seinen Browser so haben will.

 

[Xantiva]

Habe jetzt den Shop komplett auf SSL umgestellt.

Das ist das einzig sinnvolle. Einen signifikaten, messbaren Geschwindigkeitsvorteil (ohne SSL) habe ich noch nicht gesehen, aber einer von vielen anderen Rankingfaktoren von Google ist die (komplette) Verschlüsselung der Webseite (SSL => besser bewertet).

 

[njr]

Stimme Xantiva absolut zu.

Einen signifikaten, messbaren Geschwindigkeitsvorteil (ohne SSL) habe ich noch nicht gesehen

Es ist sehr unwahrscheinlich, dass man den Geschwindigkeitsvorteil merken wird. Wo man einen Unterschied merkt ist beim erzeugten Last auf dem Server. Je nachdem wo die SSL Terminierung stattfindet (auf dem Webserver oder z.B. auf einem F5) würde man hier einen Unterschied erkennen. Allerdings für die meisten Shops ist das ziemlich egal. Wenn man Amazon oder Ebay ist, ist das Thema wichtig.

...aber einer von vielen anderen Rankingfaktoren von Google ist die (komplette) Verschlüsselung der Webseite (SSL => besser bewertet).

Das ist aber der viel wichtigere Punkt.

 

[r0land]

Google Mail = check

JTL Shop in Chrome ab V.56 unsicher = check

Hosting Paket Upgrade auf SSL = check

JTL Shop auf SSL umstellen = ?!

Kann mir da jemand helfen? ich finde das im Adminbereich irgendwie nicht.. oder ich bin einfach blind. Und muss ich in JTL dann auf noch etwas achten damit alles läuft?

SSL auf unserer Shop-Domain kann ich beim Hoster nach der Bestellung des Zertifikats per Knopfdruck auf Wunsch aktivieren und deaktivieren.. das dauert dann jeweils nur ein paar Minuten.

Muss jetzt nur noch sicherstellen, dass der JTL Shop auch funktioniert. Derzeit läuft noch Shop 3.


Viele Grüße aus Hamburg

 

[hula1499]

JTL Shopadmin:
System -> Globale Einstellungen -> Globale Einstellungen
Automatischer Seitenwechsel zwischen http/https
Zertifikat ausgestellt auf

.htaccess - darauf achten, dass alles auf https umgeleitet wird
/includes/config.JTL- Shop.ini.php - darauf achten, das hier auch https bei deiner url eingestellt ist.

Dann testest die Seiten durch - falls ein X in der Verschlüsselung kommt, hast du vermutlich gemischten Inhalt (ssl/nicht ssl) dann musst deine CMS Datein, Beschreibungen etc. darauf anpassen, dass nicht via http:// sondern via https:// geholt werden.

Mist, sorry, überlesen das du noch Shop 3 hast:
Steht aber auch dort irgendwo in den Einstellungen / Globale Einstellungen oder so.
Geh rechts in die Suche in der Admin und gib dort Dinge ein wie: SSL, HTTPS, Zertifikat

 

[njr]

Muss jetzt nur noch sicherstellen, dass der JTL Shop auch funktioniert. Derzeit läuft noch Shop 3.

Das habe ich für unsere JTL Shop 3 Shops letzte Woche gemacht. EIne Anleitung findest du hier:

https://guide.jtl-software.de/jtl/Kategorie:Shop-FAQ

im Bereich "SSL-Verschlüsselung für den Shop"

Kurze Zusammenfassung:
1. config.JTL-Shop.ini.php auf "https://" anpassen
2. Option 192 im Shop Admin ausschalten
3. htaccess im Hauptverzeichnis anpassen:

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Hoffe das hilft.

 

[r0land]

Perfekt! Sind ja nahezu identische Antworten.

Globale Einstellungen und Seitenwechsel http / https ( Option 192 ) sowie Zertifikat mit / ohne vorangestelltem www habe ich jetzt gefunden.

.htaccess und /includes/config.JTL- Shop.ini.php schaue ich mir später genauer an.

Den Guide schaue ich mir auch gleich noch an: https://guide.jtl-software.de/jtl/Kategorie:Shop-FAQ

Eine Frage zur Sicherheit:

System -> Globale Einstellungen -> Globale Einstellungen
Automatischer Seitenwechsel zwischen http/https

2. Option 192 im Shop Admin ausschalten

@hula: Da meintet ihr beide dasselbe = deaktivieren ?
Das war bei uns auch schon auf "nein" eingestellt.

Dann testest die Seiten durch - falls ein X in der Verschlüsselung kommt, hast du vermutlich gemischten Inhalt (ssl/nicht ssl) dann musst deine CMS Datein, Beschreibungen etc. darauf anpassen, dass nicht via http:// sondern via https:// geholt werden.

Was genau meinst Du mit X in der Verschlüsselung? Gibts dafür extra eine Software oder geht das im Shop-Admin? Oder einfach die Seiten mit beliebigem Browser aufrufen und schauen, was http und was https ist?

CMS Dateien werde ich vermutlich nur anpassen müssen, wenn wir eigene Inhalte in den Shop eingebaut haben.. oder?

Hoffe das hilft.

Reichlich! Vielen Dank für eure Antworten. Damit bin ich ein großes Stück weiter.

 

[njr]

@hula: Da meintet ihr beide dasselbe = deaktivieren ?
Das war bei uns auch schon auf "nein" eingestellt.

Korrekt. Normalerweise ist Option 192 aktiviert ("Ja"). Ansonsten wäre die Zahlungsinformation vom Kunden nicht verschlüsselt. Da wir hier den ganzen Shop aber mit https verschüsslen, muss man jetzt Option 192 auf "Nein" stellen.

Was genau meinst Du mit X in der Verschlüsselung? Gibts dafür extra eine Software oder geht das im Shop-Admin? Oder einfach die Seiten mit beliebigem Browser aufrufen und schauen, was http und was https ist?
CMS Dateien werde ich vermutlich nur anpassen müssen, wenn wir eigene Inhalte in den Shop eingebaut haben.. oder?

Hier meinte der Kollege, dass man aufpassen muss, wenn man "händisch" externe Inhalte verlinkt hat. Der Shop stellt seine eigene Links/Dateien auf https um. Aber es kann sein, dass du irgendwo externe Ressourcen verwendet hast. z.B.

• Hast du in den CMS Dateien externe Grafiken mit <... src="http://...> verlinkt?
• Hast du in deinen Produktbeschreibungen externe Grafiken oder Videos mit <... src="http://...> verlinkt?

Überall wo du noch externe Ressourcen mit http verlinkt hast, wird der Browser einen "Mixed Content" Warnung zeigen. Sprich, die Seite besteht aus https und http Inhalt. Bei Solchen Seiten musst du dann die externe Ressourcen über https einbinden.

 

[r0land]

Wow danke.

Eigene bzw. externe Inhalte haben wir so gut wie keine. Links hatten wir nie in Beschreibungen drinnen. Und Bilder hatten wir immer nur die Galeriebilder. Von daher haben wir wohl Glück.. ^^

Trotzdem ist ja doch ein bisschen was zu tun.