Wenn Ihre Website plötzlich von Google mit dem roten “Nicht sicher”-Label markiert wird und Besucher beim Anmelden oder Bezahlen eine Warnung sehen, werden über 63% der Nutzer die Seite sofort schließen – das bedeutet Verlust von Traffic und ein dramatischer Rückgang des Markenvertrauens!
In diesem Artikel bieten wir Ihnen praktische Lösungen, die Sie ohne Fachwissen umsetzen können, um Ihre Website innerhalb von 2 Stunden wieder auf “sicher” zu bringen!
Warum wird Ihre Website als ‘Nicht sicher’ markiert?
Google hat seit 2018 streng vorgeschrieben, dass alle Seiten, die Benutzereingaben enthalten (wie Login, Zahlungen, Formulare), ein SSL-Zertifikat verwenden müssen, andernfalls wird die Seite direkt als unsicher markiert.
Was noch komplizierter ist: Selbst wenn Sie bereits ein SSL-Zertifikat installiert haben, wird HTTPS ungültig, wenn das Zertifikat abgelaufen ist (z. B. wenn ein kostenloses Zertifikat nicht alle 3 Monate erneuert wird), die Domain nicht übereinstimmt (die Hauptseite verwendet die www-Domain, aber das Zertifikat ist nur für die non-www-Version gebunden), oder wenn auf der Seite gemischte HTTP-Links (z. B. von externen Werbecodes) verwendet werden.
Das HTTP-Protokoll ist wie “unverschlüsselte” Übertragung
Ein Online-Shop einer Offline-Kette hatte HTTPS nicht aktiviert, wodurch Benutzeranmeldedaten von Hackern abgefangen wurden. Das technische Team stellte fest, dass der Angreifer lediglich über öffentliches WLAN das Wireshark-Tool verwendete, um in nur 5 Minuten mehr als 200 Passwörter im Klartext abzufangen.
Das Hauptproblem:
- Beim HTTP-Protokoll werden alle Daten (Passwörter, Zahlungsinformationen) unverschlüsselt übertragen.
- Seiten ohne Verschlüsselung werden 3,6-mal häufiger manipuliert als HTTPS-Seiten (Datenquelle: Sucuri Sicherheitsbericht 2024).
- Google senkt das Ranking von HTTP-Seiten um 15%-20% (SEMrush Experimentdaten).
Die “tödlichen Details” des SSL-Zertifikats
Während einer großen Verkaufsaktion 2023 wurde die Zahlungsseite eines Modewebshops durch den Browser blockiert, weil das SSL-Zertifikat abgelaufen war, was zu einem Verlust von 370.000 Yuan an Bestellungen führte.
- Zertifikat abgelaufen: Kostenlose Zertifikate (z. B. Let’s Encrypt) müssen alle 90 Tage erneuert werden, sonst sind sie ungültig.
- Domain stimmt nicht überein: Das Zertifikat ist an
domain.comgebunden, aber beim Zugriff aufwww.domain.comwird eine Warnung ausgelöst. - Fehlendes Zwischenzertifikat: Besonders empfindlich bei Android-Geräten und führt zu einem “Zertifikatskettenfehler”.
Branchenstatus: 43% der Seiten, die HTTPS implementiert haben, haben immer noch Fehler in der Zertifikatskonfiguration (Datenquelle: SSL Labs 2024).
Gemischte Inhalte: “Ein Apfel kann den ganzen Korb verderben”
Ein WordPress-Website-Betreiber beschwerte sich: “Ich habe doch das SSL-Zertifikat installiert, aber im Backend wird immer noch als unsicher angezeigt!” Schließlich wurde festgestellt, dass die HTTP-Link-Bilder im Thema die ganze Seite kontaminiert hatten.
Häufige Szenarien:
- Bilder in alten Artikeln mit externen HTTP-Links (z. B.
http://image.com/1.jpg). - Externe Plugins, die nicht-HTTPS-APIs aufrufen (z. B. Kundenservice-Popups, Werbecodes).
- Hardcodierte HTTP-Links in der Datenbank.
Selbstprüfungswerkzeuge:
- Drücken Sie F12 auf Chrome → Console-Panel, um spezifische Fehlerdateien anzuzeigen.
- Verwenden Sie SSL Checker, um die Zertifikatsintegrität zu scannen.
Verborgene Fallen: Regionale Netzwerkausspähung
In einigen Regionen werden von ISPs HTTP-Verkehr abgefangen und gezwungenermaßen mit Werbung oder Umleitungslinks versehen. Zum Beispiel meldete ein Unternehmen in Yunnan, dass auf ihrer Website automatisch Glücksspielwerbung angezeigt wurde – was tatsächlich durch einen lokalen ISP-Abgriff verursacht wurde.
Dieses Problem kann die Sicherheitsmechanismen des Browsers auslösen und dazu führen, dass die Nutzer fälschlicherweise denken, es handele sich um ein Verhalten der Website, was zu einer Beschwerderate von 280% führt (Quelle: ZhanZhangZhiJia Fallstudien).
Schnelle Beantragung eines kostenlosen SSL-Zertifikats (3 Methoden)
“SSL installieren bedeutet, den Server zu manipulieren? Zu teuer?” — Das ist das Missverständnis, das 90% der kleinen und mittleren Website-Betreiber dazu bringt, das “Nicht sicher”-Warnzeichen zu ignorieren.
Tatsächlich verwenden weltweit über 430 Millionen Websites kostenlose SSL-Zertifikate (Datenquelle: BuiltWith), darunter auch große Unternehmen wie Amazon und WordPress.
Die Sicherheit eines kostenlosen Zertifikats ist die gleiche wie bei kostenpflichtigen Versionen. Der Unterschied liegt nur in der Verifizierungsmethode.
1. Ein-Klick-Installation über das Hosting-Control-Panel (Empfohlen für Anfänger)
Geeignet für: Nutzer von Shared Hosting/Cloud-Servern (z. B. Alibaba Cloud, Tencent Cloud, SiteGround)
Schritte:
- Loggen Sie sich in das Backend des Hosting-Anbieters ein und finden Sie das Modul „SSL/TLS“ oder „Sicherheit“
- Wählen Sie „Kostenloses Zertifikat“ und wählen Sie die Domains aus, die verschlüsselt werden sollen (Batch-Verarbeitung wird unterstützt)
- Klicken Sie auf „Einrichten“ und warten Sie 3-5 Minuten, bis es automatisch wirksam wird
Erfolgsquote:98% (Die gängigsten Hosting-Anbieter in China haben die Umgebungen bereits vorinstalliert)
Vorteile:Keine technischen Kenntnisse erforderlich, automatische Verlängerung, fast 0% Ausfallrate
Häufige Fallstricke:
- Einige Hosting-Anbieter begrenzen die Anzahl der kostenlosen Zertifikate (z. B. West Digital bietet nur ein Zertifikat an)
- Stellen Sie sicher, dass die Domain auf die aktuelle Server-IP aufgelöst wurde
2. Let’s Encrypt + Certbot (Von Entwicklern empfohlen)
Verwendungsbereich:Eigener Server (z. B. Nginx/Apache), Bedarf an Multi-Domain-Verwaltung
Testfall:Ein Blog mit über 100.000 täglichen Besuchern verschlüsselt 100 Subdomains in nur 3 Minuten mit einem einzigen Befehl
Schritte:
# Installiere Certbot (Beispiel für Ubuntu + Nginx)
sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx
# Fordere das Zertifikat an und konfiguriere es automatisch (ersetze yourdomain.com)
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
# Aktiviere automatische Verlängerung (90 Tage gültig)
sudo certbot renew --dry-runErfolgsquote:92% (Abhängig von der Serverumgebung)
Häufige Fehler und Lösungen:
Failed to connect to host for DVSNI challenge→ Überprüfen Sie, ob die Ports 80/443 in der Firewall geöffnet sindThe server experienced an internal error→ DNS-Änderungen sind noch nicht wirksam, warten Sie auf die DNS-Aktualisierung
3. HTTPS von CDN-Anbietern (Verkehrsbeschleunigung + Verschlüsselung in einem)
Unterstützte Plattformen:Cloudflare, Baidu Cloud Accelerate, Tencent Cloud CDN
Beispiel für die Einrichtung (Cloudflare):
- Registrieren Sie ein Konto und fügen Sie die Domain der Website hinzu
- Wählen Sie im Abschnitt „SSL/TLS“ den Modus „Flexible“ (Erzwingen von HTTPS für die gesamte Website)
- Aktivieren Sie „Always Use HTTPS“ und „Automatic HTTPS Rewrites“
Wirkungszeit:Sofort (Wird sofort auf allen globalen Knoten angewendet)
Hauptvorteile:
- Kein Zertifikat auf dem Ursprungserver erforderlich, CDN-Knoten verschlüsseln automatisch
- Kompatibel mit älteren HTTP-Servern und löst perfekt das Problem mit gemischtem Inhalt
- Das kostenlose Paket unterstützt Wildcard-Zertifikate (*.domain.com)
Behandlung von Einschränkungen
| Einschränkung | Betroffener Bereich | Lösungsansatz |
|---|---|---|
| Kurze Gültigkeitsdauer | Let’s Encrypt gilt nur 90 Tage | Richten Sie automatische Verlängerung ein (verwenden Sie cron für zeitgesteuerte Aufgaben) |
| Nur Domaininhaberschaft wird validiert | Der Firmenname wird nicht in der Adressleiste angezeigt | Für Unternehmens-Websites kann auf ein OV-Zertifikat (ab 300 RMB/Jahr) aktualisiert werden |
| Beschränkung auf eine Domain | Einige Hosting-Anbieter begrenzen die Anzahl der verknüpften Domains | Verwenden Sie ein Wildcard-Zertifikat (*.domain.com) |
Wichtige Überprüfung von „Mixed Content“-Problemen
„Warum zeigt die Website immer noch als unsicher an, obwohl ein SSL-Zertifikat installiert ist?“ — Dies ist das größte Problem, mit dem 78% der Website-Betreiber nach der Einrichtung von HTTPS konfrontiert sind (Quelle: SSL Labs).
Der Hauptgrund liegt in „Mixed Content“, das den gesamten Verschlüsselungsstatus der Seite zerstört, wie ein Tropfen Tinte in einem Glas sauberen Wassers.
1. Die gravierenden Auswirkungen von Mixed Content
- Vertrauensverlust der Nutzer:Selbst wenn die Website sicher ist, wird der Browser weiterhin eine gelbe Dreieck-Warnung anzeigen (ab Chrome 94 wird diese rot angezeigt)
- Fehlfunktionen:Einige Browser werden HTTP-Ressourcen blockieren (z. B. Bilder laden nicht oder JavaScript-Fehler)
- SEO-Strafe:Google markiert Seiten mit Mixed Content als „teilweise sicher“ und senkt das Suchranking um etwa 11%-15% (Daten aus Experimenten von Ahrefs)
2. Wie man das Problem in 3 Minuten lokalisiert
Methode 1: Chrome Developer Tools
- Öffnen Sie die Website und drücken Sie F12, um die Entwicklertools zu öffnen
- Wechseln Sie zum Console-Panel und prüfen Sie die roten Fehlermeldungen
- Klicken Sie auf den Link in der Fehlermeldung, um direkt zum Sources-Panel zu gelangen und den problematischen Code zu lokalisieren
Methode 2: Drittanbieter-Scan-Tools
- Why No Padlock: Geben Sie die URL ein, und das Tool erstellt innerhalb von 5 Sekunden eine Liste der problematischen Ressourcen
- Jitbit SSL Check: Tiefenscan für eingebettete CSS/JS-Links
Methode 3: Globale Datenbanksuche
Für Website-Bau-Systeme wie WordPress/Shopify müssen Sie auch den historischen Inhalt in der Datenbank prüfen:
-- Suche nach HTTP-Links (ersetzen Sie your_db_prefix mit dem tatsächlichen Tabellenpräfix)
SELECT * FROM your_db_prefix_posts
WHERE post_content LIKE '%http://%' AND post_status='publish'; 3. Häufige Quellen für gemischte Inhalte und Lösungen
| Problemtyp | Anteil | Typische Szenarien | Lösungen |
|---|---|---|---|
| Externe Bildlinks | 52% | Bilder aus Artikeln vor 2018 | Bilder herunterladen → Auf der eigenen CDN hochladen |
| Drittanbieter-Code | 23% | Chat-Fenster, Werbenetzwerkskripte | Den Anbieter bitten, die HTTPS-Version des Codes bereitzustellen |
| Themen/Plugins | 17% | Fonts von alten Themen, AJAX-Anfragen | Plugins aktualisieren oder manuell http:// durch // ersetzen |
| Hardcodierte Datenbankeinträge | 8% | Manuell eingefügte Video-Links auf Produktdetailseiten | SQL-Daten in großen Mengen ersetzen (mit einem Plugin ist es sicherer) |
4. Dauerhafte Strategie zur Vermeidung gemischter Inhalte
- Protokoll-relative Links: Ändern Sie
http://example.com/image.jpgzu//example.com/image.jpg - Content-Security-Policy (CSP): Fügen Sie dies in Ihre Nginx/Apache-Konfiguration ein:
add_header Content-Security-Policy "upgrade-insecure-requests"; Erzwinge die gesamte Website auf HTTPS (Codebeispiel)
„Warum können Benutzer nach der Installation eines Zertifikats weiterhin auf die HTTP-Version zugreifen?“ — Dies ist das fatalste Sicherheitslücke nach der Behebung von gemischten Inhalten.
Ein Online-Shop für Babyprodukte hatte aufgrund der fehlenden erzwungenen Weiterleitung 40 % der mobilen Benutzer, die weiterhin über alte HTTP-Links auf HTTP-Seiten zugriffen, was dazu führte, dass Google doppelt erfasste Daten und das Suchranking um 30 % fiel.
Die Kernlogik der erzwungenen Weiterleitung lautet: Fange alle HTTP-Anfragen ab und leite sie mit dem Statuscode 301 dauerhaft auf HTTPS weiter.
1. Allgemeine Codevorlage (für Apache/Nginx/IIS)
Apache-Server (.htaccess-Datei)
RewriteEngine On
# Erzwinge Weiterleitung zur Hauptdomain
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Behebe das Problem mit www und non-www
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301] Anwendungsfälle: Virtuelle Hosts, WordPress, Joomla und andere PHP-Websites
Fehlervermeidungshinweise:
- Stellen Sie sicher, dass das
mod_rewriteModul auf dem Server aktiviert ist - Die Datei muss in das Stammverzeichnis der Website hochgeladen werden
- Wenn die Weiterleitung fehlschlägt, prüfen Sie, ob mehrere
.htaccessDateien zu Konflikten führen
Nginx-Server (nginx.conf Konfigurationsabschnitt)
server {
listen 80;
server_name example.com www.example.com;
# 301 Weiterleitung für die gesamte Website
return 301 https://$server_name$request_uri;
# Verbot von unsicheren HTTP-Methoden
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
} Debugging-Tipps:
- Führen Sie nach der Änderung
nginx -taus, um die Konfigurationssyntax zu testen - Laden Sie die Konfiguration neu:
nginx -s reload - Verhindern Sie unnötige HTTP-Methoden, um Datenlecks zu vermeiden
Windows IIS-Server (web.config Regel)
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Force HTTPS" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="^OFF$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
Häufige Fehler:
- IIS hat das „URL Rewrite“-Modul nicht installiert → Offizielle Download-URL
- Falsche Kodierung von chinesischen Pfaden → Fügen Sie
encode="false"zur Regel hinzu
2. CMS-spezifische Lösung
WordPress-Nutzer
- Melden Sie sich im Backend an → Einstellungen → Allgemein
- Ändern Sie die WordPress-Adresse und Website-Adresse von
http://zuhttps:// - Installieren Sie das Plugin Really Simple SSL → Beheben Sie gemischte Inhalte in der Datenbank mit einem Klick
Shopify/Laravel und andere Frameworks
Erzwingen Sie HTTPS in der Umgebungsvariablen-Datei (.env):
APP_URL=https://www.example.com
FORCE_SSL=true
SESSION_SECURE_COOKIE=true
3. Besondere Behandlung für Mobilgeräte (AMP/WeChat Browser)
- AMP-Weiterleitung: Fügen Sie
<meta http-equiv="refresh" content="0; url=https://neuer-Link">in AMP HTML hinzu - WeChat-Caching-Problem: Fügen Sie einen zufälligen Parameter am Ende der URL hinzu, z.B.
?v=2024, um die HTTPS-Version zu erzwingen
4. Testen Sie, ob die Weiterleitung funktioniert
Browser-Test:
- Gehen Sie zu
http://example.com→ Die Adressleiste sollte sich automatisch inhttps://ändern - Überprüfen Sie, ob das Schlosssymbol nach der Weiterleitung grün ist
Über die Befehlszeile prüfen:
curl -I http://example.com
# Die korrekte Antwort sollte Folgendes enthalten:
# HTTP/1.1 301 Moved Permanently
# Location: https://example.com Online-Tools:
Fehlermeldung:
Falsche Konfiguration → Unendliche Weiterleitungsschleife (ERR_TOO_MANY_REDIRECTS)
Häufige Ursachen:
1. CDN führt gleichzeitig eine HTTPS-Weiterleitung durch (Konflikt mit den Serverregeln)
2. Lastenausgleichsgerät überträgt den Protokoll-Header nicht korrekt
Lösungsansatz:
Fügen Sie in der Nginx-Konfiguration hinzu:
proxy_set_header X-Forwarded-Proto $scheme; SEO-freundliche Weiterleitungsprinzipien:
- Verwenden Sie 301-Weiterleitungen für die gesamte Website (permanente Weiterleitungen), um 100% des Linkwerts weiterzugeben
- Vermeiden Sie Kettenweiterleitungen (z.B. http→http://www→https); maximal 1 Weiterleitung zulassen
- Reichen Sie eine HTTPS-Sitemap in der Google Search Console ein
Google hat ab 2018 HTTPS schrittweise als Ranking-Faktor eingeführt. Websites ohne Verschlüsselung verlieren im Durchschnitt 12%-15% des Traffics pro Jahr, und dieser Verlust beschleunigt sich mit zunehmendem Sicherheitsbewusstsein der Nutzer.
