Bei unserer Arbeit als Suchmaschinenoptimierer analysieren wir regelmäßig Webseiten bevor wir in den Optimierungsprozess starten. Dabei prüfen wir die Seiten auch auf die korrekte Implementierung von https – insbesondere seit Google im Jahr 2014 die Nutzung von SSL Zertifikaten als Rankingfaktor postuliert hat. Doch bei der Https-Integrierung auf Webseiten, kann es es zu einigen Fallstricken kommen, welchen Beachtung geschenkt werden sollte. Einer dieser Fallstricke sind gemischte Inhalte. Ein aus unterschiedlichen Gründen, entstandener Ressourcen-Cocktail auf Internetseiten, welche die Sicherheit einer Internetseite – respektive der User bedrohen.
Was gemischte Inhalte sind, wie diese auf Webseiten identifiziert und beseitigt werden und wie Mixed Content sich auf die Suchmaschinenoptimierung auswirkt, wird in diesem Beitrag beschrieben.
Was ist Mixed Content?
Wie in der Headline des Beitrags schon angedeutet, ist Mixed Content eine Art Ressourcen-Cocktail innerhalb einer Website, welche die sichere Nutzung der Seite beeinträchtigt und im schlimmsten Fall für Man-in-the-Middle-Angriffe ausgenutzt werden kann.
Im Detail meint man mit gemischten Inhalten, dass auf einer Website – obwohl das SSL-Zertifikat und Redirects eingebunden sind – Ressourcen wie CSS, Javascript oder Mediendateien per http abgerufen werden. Der Mixed Content Fehler tritt also auf, wenn unverschlüsselte http-Inhalte auf einer verschlüsselten https-Seite angezeigt werden. In Folge erkennt ein Browser wie Chrome oder Mozilla, trotz SSL, die Internetseite als nicht sicher an und gibt eine Warnung in der Browserzeile an den Nutzer raus.
Nachfolgend zwei Grafiken zum Vergleich hinsichtlich der SSL-Browserinformation:
Kategorien von Mixed Content
Man unterscheidet zwei Arten von Mixed Content, welche sich je nach Bedrohungsstufe unterscheiden. Die Unterscheidung wird eingeteilt in aktive und passive Inhalte:
- Mixed active Content (aktive Inhalte)
- Mixed passiv Content bzw. auch Mixed display Content genannt (passive Inhalte)
Der Mixed Active Content (1.) stellt im Vergleich zum Mixed Display Content die größere Bedrohung für eine Website bzw. für den User dar. Denn hiervon sind direkt Aussehen- und funktionsverändernte Dateien wie Stylesheets (CSS) und Skripte (Javascript) betroffen. Im Worst Case kann die Seite durch Mixed Active Content nicht mehr geladen werden. Daher ist diese Art der gemischten Inhalte bedrohlicher und prioritärer anzusehen als die des Mixed passiv Content und sollte zuerst korrigiert werden.
Beim Mixed passiv Content (2.) sind Mediendateien wie Bilder, Videos und Audiodateien betroffen. Diese beeinträchtigen die Funktion der Webseite in keinster Weise, da sie, trotz SSL Zertifikat der Domain, vom System unverschlüsselt per http geladen werden. Im Vergleich zu Mixed Active Content ist die Gefahr gering, da hier “nur” fehlerhaftem irreführende Inhalte ausgespielt werden.
Mixed Active Content | Mixed Passiv Content | |
---|---|---|
Inhaltsart | aktive inhalte | passive Inhalte |
Dateien | Stylesheets & Skripte (.css ; .js) | Mediendateien wie Bilder, Video, Audio (.jpg; .png; .mp4; etc.) |
Auswirkung | Können Aussehen und Funktion einer Website beeinträchtigen. | Keine Veränderung der Website. Elemente werden einfach per http geladen. |
Gefahr | hoch | niedrig |
Neben der Art des Mixed Content, sollte auch noch beachtet werden, ob die Mixed Content Inhalte intern von der eigenen Seite erzeugt werden oder gar durch externe Ressourcen, z.B. bei Nutzung von Affiliate-Werbung. Bei internen, gemischten Inhalten ist die Lösung des Problems meist einfacher. Hingegen bei externen mixed Content durchaus die Bereitstellung der Ressource über die eigene Website kritisch hinterfragt werden sollte.
Gemischte Inhalte in https-Seiten finden
In der Regel treten Mixed Content Fehler nach der Implementierung des SSL Zertifikats auf – also bei der Umstellung von http zu https. Sei es, weil bisher noch kein SSL Zertifikat genutzt wurde oder weil z.B. im Zuge eines Website-Relaunchs, die Seite von einer Entwicklungsumgebung auf eine aktive Domain übertragen wird. Egal wie der Ressourcencocktail entstanden ist, er sollte gefunden und beseitigt werden. Doch wie entdeckt man Mixed Content auf https-Webseiten?
Mixed Content händisch identifizieren:
Bei kleineren Webseiten wie z.B. Unternehmensseiten kann man die Seiten manuell auf Mixed Content Fehler prüfen, in dem man sich jede einzelne Seite einer Website in einem aktuellen Browser anschaut. In der Browserzeile vor der URL sollte dann entweder das Symbol des Vorhängeschloss erscheinen oder ein Informationssymbol. Bei der Ausgabe des Schlosses ist in der Regel alles okay und es kann sich die nächste Seite betrachtet werden.
Sollte jedoch das Informationssymbol erscheinen, bietet sich ein Blick in die Browser-Entwicklerkonsole an, um zu sehen welche Ressourcen als Mixed Content deklariert werden. Hier seht Ihr dann die Anzahl der Fehler/ Warnungen sowie die Dateipfade.
Mixed Content Tools und Checker:
Bei größeren Seiten zum Beispiel in Onlineshops mit mehreren Hundert oder Tausenden Produkten ist eine manuelle Suche meist kaum möglich. Hier bieten sich Tools bzw. URL-Crawler an, welche die Seiten untersuchen.
Screaming Frog
Das vermutlich liebste Tool eines jeden technischen SEOs hilft auch bei der Identifizierung von Mixed Content.
Nach dem Crawlen der Website einfach im Reiter “Reports” auf “Insecure Reports” klicken und schon wird der Bericht zu “unsicheren Inhalten” heruntergeladen. Schauen sie sich anschließend in der Tabelle die Mediendateien an. In den Spalten “Source” und “Destination” können sie nun leicht nachverfolgen, auf welcher Seite der Fehler entsteht und wohin der Mixed Content Fehler verweist.
SSL Checker
Auf der Seite https://www.jitbit.com/sslcheck/ können Sie online Ihre Website nach Mixed Content Problemen durchsuchen lassen. Der Checker crawlt gratis bis zu 200 Seiten einer Website und informiert darüber ob unsichere Inhalte vorhanden sind.
Mixed Content Fehler beheben
Die Faustregel für die Behebung von Mixed Content Fehlern lautet:
http-Ressourcen durch https ersetzen.
Soll heißen, je nach Mixed Content Fehlerart schreibt man die Pfade der entsprechenden kritischen Ressourcen (.css, .png, .svg, etc.) auf https um. Hierbei sollte vor allem die Konfigurationsdatei angepasst werden. Je nach Content Management System ist unter Umständen auch ein Korrigieren in der Datenbank notwendig, z.B. in WordPress. Sollten sie sich nicht an die Datenbank heranwagen, empfiehlt sich für Mixed Content Fehler in WordPress der Einsatz eines Plugins.
Wir empfehlen dafür “Better Search Replace”. Bevor Sie die Datenbank um schreiben – egal ob händisch oder per Plugin – sollte jedoch ein Backup der Datenbank vorgenommen werden. Nach der erfolgreichen Behebung der gemischten Inhalte, kann das Plugin wieder deinstalliert werden.
Bei größeren Seiten wie Online Shops oder News-Seiten kann die Analyse und Behebung von gemischten Inhalten sehr zeitaufwendig sein. Dadurch stellen sie ein ernst zunehmendes Problem dar. Es empfiehlt sich bei großen Seiten – wo oftmals auch mehrer Personen dran arbeiten – der Einsatz eines CSP-Sicherheitskonzept (Content Security Policy). Mehr Infos dazu in den Web-Fundamentals von Google.
Mixed Content und seine Auswirkung im SEO
Gemischte Inhalte in Webseiten werden von Google selbst als klare Stolperfalle identifiziert, wenn es um die Implementierung und den Einsatz von https geht. Da die Verwendung eines SSL-Zertifikats sowie die Nutzung von https-Inhalten auf einer Webseite seit 2014 offizieller Rankingfaktor ist, stellt somit die Beseitigung der Fehler eine wichtige Arbeit in der technischen Suchmaschinenoptimierung dar. Denn ein Nicht-Berücksichtigen der Mixed-Content Fehler kann zu einem Verlust der Rankings der gesamten Website führen. Des Weiteren kann es durch Verwendung von gemischten Inhalten zu einer verzögerten Indexierung der betroffenen Seiten kommen. Im schlimmsten Fall kann gar eine Indexierung verhindert werden (bei Mixed Activ Content).
Außerdem lösen Mixed Content Fehler eine Sicherheitswarnung für den Nutzer in der Browserzeile aus. Dieser Warnhinweis wirkt sich negativ auf die Nutzererfahrung aus. In modernen Browsern wie Firefox, Chrome oder Edge ist diese Warnung deutlich sichtbar. Daher sollte besonders bei Webseiten, welche sensible, persönliche Daten übermitteln (Shops, Foren, Anmeldungen & Registrierungen, etc.) keine SSL-Warnung ausgegeben werden. Dies schafft nur unnötiges Misstrauen gegenüber den Kunden und führt unter Umständen zu einer erhöhten Absprungrate.
Tests von Google zu Mixed Content
Am 14.02.2019 hat SEO Südwest eine Beitrag veröffentlicht, in dem beschrieben wird, dass Google Experimente in Chrome durchführt, bei denen http-Elemente automatisch auf https geupdgradet werden, wenn die betreffende Ressource ein https anbietet. Ziel der Test sei es, zukünftig Mixed Content Fehlern vorzubeugen um das Web noch sicherer zu machen.
Hier gehts zum Beitrag von SEO-Südwest “Mixed Content: Google testet das automatische Upgrade auf HTTPS in Chrome”.