Blog
HTTPS-Verbindung erzwingen

Für manche Websites ist aus unterschiedlichen – vor allem sicherheitsrelevanten und vertrauensbildenden – Gründen der Einsatz einer verschlüsselten Verbindung zum Browser erforderlich. Dafür gibt es verschiedene Ansätze, welche ich im folgenden skizzieren möchte.

Auch für Zwecke der Suchmaschinenoptimierung wird geraten, Google mit dem Investieren in eine verschlüsselte Verbindung zu signalisieren, dass man eine vertrauenswürdige Website betreibt und man den Schutz der Informationen und der Identität seiner Besucher ernst nimmt. Es sollte zudem auch sichergestellt werden, dass – wenn prinzipiell beide Versionen erreichbar sind – auf die richtige Version umgeleitet wird, um keinen unnützen und schädlichen doppelten Content (Duplicate Content) in die Suchergebnisse zu befördern.

Voraussetzung ist selbstverständlich, dass beim Hoster ein SSL-Zertifikat beauftragt wurde. Bei einigen Anbietern gibt es ein einfaches Zertifikat gratis im Paket dazu. Besonders geprüfte und validierte Zertifikate für eine erhöhte Sicherheit des Benutzers und solche für weitere Domains und Subdomains kosten in der Regel einen jährlichen Aufpreis.

TYPO3

In TYPO3 gibt es seit Version 4.5 das Feature, mit welchem für jede einzelne Unterseite festgelegt werden kann, ob diese mit http:// oder https:// aufgerufen werden soll. Standardeinstellung ist, dass nichts davon erzwungen wird, sondern das aufgerufene Protokoll beibehalten wird.

Die Einstellung befindet sich in den Seiteneigenschaften im Reiter „Verhalten“ und nennt sich „Benutze Protokoll„.

In der Datenbank-Tabelle „pages“ heißt die betreffende Spalte „url_scheme“. Mit einem Update-Befehl können z.B. nachträglich alle Seiten auf https umgestellt werden:

UPDATE pages SET url_scheme = 2

Um das auch für alle neue Seiten als Standard zu setzen ist folgende Zeile in der TSConfig nötig:

TCAdefaults.pages.url_scheme = 2

TYPO3-Backend

Soll nur das TYPO3-Backend per HTTPS-Verbindung gesichert aufgerufen werden, muss im Install-Tool der Wert von „lockSSL“ auf 2 gesetzt werden. Damit wird für das Backend und den Login eine Weiterleitung auf die https-Variante erzwungen und damit sichergestellt, dass das Backend-Passwort nur verschlüsselt übertragen wird.

per .htaccess

Auch unabhängig von TYPO3 ist das Erzwingen einer SSL-Verschlüsselung per .htaccess möglich. Achtung: Das gilt dann für alle URLs (auch Bilder), welche unterhalb das Ordners der .htaccess erreichbar sind:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Oft wird hier auch nach dem Port 443 geprüft, aber für den seltenen Fall, dass der Server anders konfiguriert ist, würde diese Abfrage scheitern.

E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind Pflichtfelder.