Google Chrome blockiert Mixed Content

Schon ab Februar 2020 wird Google Chrome keinen Mixed Content mehr anzeigen. Website-Besitzer sollten früh handeln, um nicht negativ von dieser Sicherheitsmassnahme betroffen zu sein.

Was ist Mixed Content?

Als Mixed Content bezeichnet man die Situation, wenn eine Website über HTTPS (sichere Verbindung) geladen wird, jedoch weitere Ressourcen über HTTP (unsichere Verbindung) nachgeladen werden. Meist handelt es sich dabei um Bilder, Videos, Audio oder Scripts.

Mixed Content schadet der Sicherheit der Website und gefährdet die Privatsphäre der Nutzer. Da trotz einer sicheren Verbindung zur Website unsichere Inhalte geladen werden, können Angreifer diese manipulieren. So wäre es zum Beispiel möglich, ein nicht erwünschtes Tracking-Cookie mit einem Bild mitzuliefern.

Google und die HTTPS-Pflicht

Schon im letzten Jahr hat Google eine Änderung am Chrome-Browser eingeführt, welche die Sicherheit des Internets massgeblich verbessert hat. So zeigt der Chrome-Browser seither eine auffällige Warnung an, wenn eine Seite nicht sicher ist (wir haben darüber geschrieben). Dass Google auch in den Suchergebnissen sichere Seiten bevorzugt, dürfte mittlerweile bekannt sein.

Was passiert in den nächsten Monaten?

Mit der Version Chrome 79 wird Google im Dezember 2019 eine Option einfügen, mit welcher Nutzer Mixed Content erlauben können. Wie bisher werden dabei iframes und Scripts automatisch blockiert.

Ab Chrome 80 im Januar 2020 wird der Browser zusätzlich auch Audio und Video von unsicheren Quellen blockieren. Dabei wird Chrome zunächst versuchen, den Inhalt stattdessen über HTTPS zu laden. Gelingt dies nicht, wird der Inhalt blockiert. Bilder werden in Chrome 80 weiterhin über unsichere Quellen geladen. Jedoch wird dem Nutzer die Warnung 'Nicht sicher' in der Adresszeile angezeigt.

Google Chrome Mixed Content Fehler ab Version 80

Bildquelle: https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html

Mit Chrome 81 im Februar 2020 dann die Vollendung der Mixed Content Kampagne. Bilder aus unsicheren Quellen werden blockiert. Auch hierbei wird zunächst versucht, die Bilder stattdessen über HTTPS zu laden.

Die Tabelle unten zeigt, wie sich das Verhalten von Chrome gegenüber Mixed Content in den nächsten Monaten verändert.

 Chrome 79Chrome 80Chrome 81
DatumDezember 2019Januar 2020Februar 2020
iframesblockiertblockiertblockiert
Scriptsblockiertblockiertblockiert
Audiozugelassenblockiertblockiert
Videozugelassenblockiertblockiert
BilderzugelassenWarnungblockiert

Was müssen Website-Besitzer tun?

Damit Website-Besitzer nicht negativ von den Änderungen in Google Chrome betroffen sind, gibt es einige Schritte zu beachten.

1. SSL aktivieren

Falls noch nicht geschehen, sollte man zunächst unbedingt ein SSL-Zertifikat ausstellen lassen und SSL auf dem Webhosting aktivieren. Unsere Webhosting Kunden profitieren von einem kostenlosen Zertifikat von Let's Encrypt. Alternativ bieten wir kostenpflichtige SSL-Zertifikate zum Kauf an.

2. Mixed Content ausfindig machen

Ob eine Website von Mixed Content betroffen ist, lässt sich zum Beispiel mit dem kostenlosen SSL-Checker von JitBit herausfinden.

3. Betroffene Inhalte anpassen

Meistens sind es Bilder, die nicht über HTTPS geladen werden. Bei fast jedem CMS (Content Management System) lassen sich die URLs der Bilder im Bearbeitungsmodus anpassen. Hierbei einfach den Teil http:// mit https:// ersetzen. Für externe Ressourcen, die nicht über HTTPS geladen werden können, empfiehlt es sich, alternative Inhalte zu suchen und zu verwenden.