Mixed Content: durch Google Chrome Browser geblockt

Google hat angekündigt, dass “gemischte Inhalte” (mixed Content) ab Dezember 2019, ebenfalls wie nicht verschlüsselte Webseiten, geblockt werden.

Dass Google seit Jahren verstärkt auf Sicherheit achtet sollte hinreichend bekannt sein. Der Suchgigant an Mountain View blockt Seiten, die ihre Inhalte noch via HTTP:-Protokoll ausliefern bereits seit langem und rät Webmastern dazu, das HTTPS:-Protokoll zu nutzen. Und seit es den kostenlosen SSL-Dienstleister letsencrypt.org gibt, ist dieser Schritt eben nicht nur gratis, sondern auch wirklich einfach umzusetzen. Sogar Server-Panel-Anbieter wie Plesk haben letsencrypt mittlerweile als Option im Dashboard und Webseitenbetreiber können sich mit wenigen Klicks absichern.

Trotzdem gibt es noch viele Webseiten, die zwar bereits auf SSL bzw. https: umgestellt haben, aber weiterhin sogenannten mixed Content ausliefern.

Was ist mixed Content eigentlich genau?

Mixed Content entsteht immer dann, wenn nicht alle im Dokument verwendeten Ressourcen via https: geladen werden. Das können zum einen externe Quellen sein, z.B. irgendwelche Tracker oder sonstige Scripts, die auch oft schon im <head>-Bereich eingebunden sind, oder (und das ist häufig der Fall) eigene Content-Elemente wie z.B. Bilder. Der Fehler entsteht häufig, weil bei der Integration der Bilder ein absoluter Pfad verwendet wurde. D.h. es wurde die komplette URL des Bildes zu einem Zeitpunkt in die Webseite eingebunden, als noch kein https: verwendet wurde. Damit bleibt eine alte http:-URL als Ressource im Code erhalten und produziert damit den mixed Content.

Deshalb ist es empfehlenswert Bilder oder (selbst gehostete) Videos immer relativ in den Code zu schreiben. Statt <img src=”http://contentking.de/bild1.jpg”> wäre die korrekte Integration <img src=”/bild1.jpg”>. Dann entsteht bei der Umstellung auf https: kein mixed Content Problem mehr.

Wie erkenne ich mixed Content?

Mixed Content kann man sehr einfach erkennen. Dazu gibt es 3 gängige Methoden:

  1. Im Chrome Browser befindet sich links neben der Domain/URL ein kleines Schloss-Icon. Beim Klick darauf sieht man auf den ersten Blick, ob die Seite sicher ist, oder gemischte Inhalte vorliegen.
    Mixed Content erkennen
  2. Mit einem Rechtsklick auf “Untersuchen” kann man die Chrome Developer-Tools öffnen und bekommt dort dann konkrete Angaben über Fehler und Optimierungsmöglichkeiten. Rot gekennzeichnete Angaben sind schwere Fehler (meist beim Ausführen von Javascript), orangene Meldungen deuten auf “Probleme” hin. So auch im Falle von mixed Content. Man bekommt aber eine vollständige Übersicht aller via http: geladenen Ressourcen und kann sich dann an die Ausbesserung machen. Das sieht dann so aus:
  3. Und dann klappt natürlich auch eine einfache Suche im Quellcode. Rechtsklick und dann auf “Seitenquelltext anzeigen” klicken. Im nächsten Schritt STRG+F und nach “http:” suchen. Wichtig ist der Doppelpunkt! Sonst werden auch https:-URLs angezeigt.

Es gibt natürlich auch diverse Tools, mit denen man seine URLs auf mixed Content Probleme testen kann:

https://www.ssllabs.com/ssltest/
https://www.jitbit.com/sslcheck/

Und auch andere Browser bieten die Möglichkeit Fehler zu finden. Im Firefox Browser gibt es “Firebug” bzw. die “Web Console” und Safari stellt die “Error Console” zur Verfügung.

An dieser Stelle sei dem Webmaster das SEO-Tool ScreamingFrog ans Herz gelegt. Damit lässt sich nicht nur eine einzelne URL prüfen, sondern die gesamte Webseite crawlen, um eine Gesamtübersicht über mixed Content Probleme zu bekommen: https://www.screamingfrog.co.uk/seo-spider/ . Und JA, es gibt eine Testversion, die allerdings auf 500 URLs begrenzt ist. Wer mehr URLs hat, sollte die Vollversion kaufen.

Was ändert sich durch geblockte mixed Content URLs?

Egal woher der Besucher auf die betroffene Seite kommt, er bekommt (ab Januar 202) eine leere Seite mit der entsprechenden Meldung von Google: “unsichere Inhalte” bzw. “dies ist keine sichere Verbindung”. Erst mit einem Klick auf “weiter zur Webseite (unsicher)” käme der User dann zur URL mit den gemischten Inhalten. Es macht also Sinn, sich dieser Problematik anzunehmen und zu prüfen, ob die eigene Webseite ein mixed Content Problem hat, obwohl sie bereits via https: läuft.

Bevor das allerdings voll umgesetzt wird, soll es laut SEJ zunächst eine Art Button geben, der dem User erlaubt, die Webseite normal unter http: aufzurufen:

Google will introduce a toggle that a Chrome user can use to unblock insecure resources that Chrome is blocking.

Beginning in January 2020 Google will remove the unblocking option and begin blocking mixed content web pages.

Search Engine Journal

mixed Content & SEO?

Aktuell beobachten wir schon seit geraumer Zeit, dass Google URLs mit mixed Content langsam aber sicher in den Rankings nach hinten durchreicht. Unsichere Inhalte haben also definitiv einen Impact auf Rankings! Noch ein Grund die Webseite dringend zu überprüfen.

Hilfreiche und informative Seiten zum Thema mixed Content:

https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content
https://www.searchenginejournal.com/google-block-mixed-content-warning/329055/