"Blauer Brief" von Google trotz SSL im Checkout

Hallo,

habe heute einen “Blauen Brief” von der Google Search Console bekommen :eek::

Nicht sichere Passworterfassungen lösen in Chrome 56 Warnungen wegen http://www.meinshop.com/ aus. Ab Januar 2017 kennzeichnet Chrome (Version 56 und höher) Seiten, die Passwörter oder Kreditkarteninformationen erfassen, als “nicht sicher”, es sei denn, die Seiten werden über HTTPS bereitgestellt
.

Grund dafür ist wohl der Layer (siehe) der sich öffnet, wenn man auf einer beliebigen Shopseite auf “Anmelden” klickt.

Da ich nur den Checkout / Admin SSL verschlüsselt bereitstelle stört sich Google an dem nicht sicheren Login in dem Layer.

[B]Somit müssten wohl jetzt alle Oxid CE Shops die den “normalen Shopbereich” (vielleicht wegen dem Performancevorteil) nicht verschlüsselt haben jetzt von Google über die Search Console angemahnt werden.[/B]

Das sich im Web die ganzen SSL Umstellen Anleitungen nur darauf beziehen wie man Checkout / Admin auf SSL umstellt hier die Frage:

Wenn man den Shop komplett auf SSL umstellen will, reicht es, wenn man in der config die Zeile:

$this->sShopURL = ‘http://www.meinedomain.de/onlineshop’; in
$this->sShopURL = ‘https://www.meinedomain.de/onlineshop’;

ändert, /temp leert und die Views updated oder muss man da noch mehr machen?

Da mein Shop in einem Unterverzeichnis der Domain liegt: hat jemand grad einene htaccess Schnipsel parat, wie man nur die Anfragen auf ein http Unterverzeichnis in ein https Unterverzeichnis weiterleitet, also ‘http://www.meinedomain.de/onlineshop/xyz’ ->‘https://www.meinedomain.de/onlineshop/xyz’.

Danke schonmal! :slight_smile:

du brauchst keine Unterverzeichnis-HTTPS-Umleitung, eine ganz normale wird es auch tun, da diese Regel erst im Unterverzeichnis selbst greift und nicht in den Ebenen darüber,

hier ist übrigens die offizielle Info von google zu diesem Thema:

Wenn man den Shop komplett auf SSL umstellen will, reicht es, wenn man in der config die Zeile:

$this->sShopURL = ‘http://www.meinedomain.de/onlineshop’; in
$this->sShopURL = ‘https://www.meinedomain.de/onlineshop’;

ändert, /temp leert und die Views updated oder muss man da noch mehr machen?

Habe die Mail soeben auch bekommen, diese Lösung würde ich allerdings nicht empfehlen denn so wird das Laden von js / css Dateien blockiert die auf http liegen.

deswegen braucht man eine http => https Weiterleitung

Habe die Mail soeben auch bekommen, diese Lösung würde ich allerdings nicht empfehlen denn so wird das Laden von js / css Dateien blockiert die auf http liegen.

deswegen braucht man eine http => https Weiterleitung

Das heisst “out of the box” ist Oxid CE gar nicht geeignet komplett auf https zu laufen und deshalb gibt es im Web auch gar keine einfache Anleitung wie man den Shop von http komplett auf https umstellt?

Natürlich läuft Oxid out-of-the-box komplett unter SSL. Die Subdomain, auf der mein Shop läuft, stellt gar kein HTTP zur Verfügung.

Natürlich läuft Oxid out-of-the-box komplett unter SSL.

Aber wie macht man das? Im Netz habe ich für eine komplette Umstellung http->https keine vollständige Anleitung gefunden und nur mit der Änderung:

$this->sShopURL = ‘http://www.meinedomain.de/onlineshop’; in
$this->sShopURL = ‘https://www.meinedomain.de/onlineshop’;

scheint es ja nicht getan zu sein, oder? Ich denke dieses Problem haben seit heute sehr viele Shopbetreiber die das nur für den Checkout nach Anleitungen wie https://www.youtube.com/watch?v=HOFqo7KDnJc gemacht haben und nun den blauen Brief von Google bekommen haben…

Ich hab die Änderung in der config.inc gemacht (also wie von dir bereits gepostet) und den Rest erledigt der Apache selbst - der biegt jegliche Anfragen auf der Subdomain zu https um … ohne Ausnahme.

Kann ich machen, weil es ein root ist, klar … ginge aber auch via htaccess-Direktive.

Zeig mir eine mehrere Jahre alte Software, die out of the Box Anforderungen vollständig erfüllt, die erst seit 2 Monaten existieren.

Die Anleitungen gibt’s im Forum, man muss nur die Forumsuche benutzen.

[QUOTE=Soulrider;185414]Aber wie macht man das? Im Netz habe ich für eine komplette Umstellung http->https keine vollständige Anleitung gefunden und nur mit der Änderung:

$this->sShopURL = ‘http://www.meinedomain.de/onlineshop’; in
$this->sShopURL = ‘https://www.meinedomain.de/onlineshop’;

scheint es ja nicht getan zu sein, oder? Ich denke dieses Problem haben seit heute sehr viele Shopbetreiber die das nur für den Checkout nach Anleitungen wie https://www.youtube.com/watch?v=HOFqo7KDnJc gemacht haben und nun den blauen Brief von Google bekommen haben…[/QUOTE]

haben jetzt auch diese Lösung gewählt, danach mussten jedoch manuell noch missmatches von http resourcen angepasst werden.

z.B. eine Likebox von Facebook wurde per http abgerufen was zu einem Missmatch und deswegen der Meldung “unsichere Website” führt.

@vt

Meinst du mich?

Wenn ja: das lief von Anfang an absolut problemlos - ich hatte diese “Krücke” mit dem teilverschlüsselten Shop gar nicht erst installiert. Ich werde dazu mal meinen Serverspezi interviewen, bin mir aber sicher, dass auch der nichts an der Software geändert hat (warum auch, kann ich selbst genauso gut^^).

[QUOTE=Constaschr;185419]
… danach mussten jedoch manuell noch missmatches von http resourcen angepasst werden …
[/QUOTE]
da ja mit der Änderung von http in https in der config.inc.php nur die [U]internen[/U] Links geändert werden, sollte auf jeden Fall in der .htaccess eingefügt werden:


RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

damit werden auch [U]externe[/U] Links umgeleitet

[QUOTE=wolkenkrieger;185420]Meinst du mich?[/QUOTE]
nein nein, das bezog sich auf den #5 Beitrag. Hatte nur vergessen auf F5 zu drücken, bevor ich antworte. Da waren dann plötzlich ein paar Beiträge dazwischen.

Auf meiner Testseite erscheint dann nur “Fehler: Verbindung fehlgeschlagen”

Gibt es da einen Link zu den tollen Seiten mit Anleitung wie? Aber bitte keine Schlaumeier links.

Ich habe testweise meinen Testshop auf https umgestellt. Grundsätzlich schein das zu laufen. Bestellen ging auch.
Aber wenn ich ich auf “mein Konto” gehen will erscheint eine Fehlermeldung.

Not Found

The requested URL /mein-konto/ was not found on this server.

Auch die Bewertungssterne sind verschwunden. Wie kann man das lösen? Und mit welchen Problemen muss man dabei noch rechnen`?

Nachtrag:
Im Quelltext sind folgende Eintragen noch ohne https.

meta property="og:url"
link rel="canonical"
link rel=“alternate” hreflang="x-default"
link rel=“alternate” hreflang="de"
link rel=“alternate” hreflang=“en”

hab den 6.0 beta komplett auf https. da funktioniert flow ohne probleme mit allen unterlinks. auch mein-konto :slight_smile:

gruss
marcel

[QUOTE=Medicus;185461]
Nachtrag:
Im Quelltext sind folgende Eintragen noch ohne https.

meta property="og:url"
link rel="canonical"
link rel=“alternate” hreflang="x-default"
link rel=“alternate” hreflang="de"
link rel=“alternate” hreflang=“en”[/QUOTE]

Das ist normalerweise nicht so. Wenn alle Einträge in config.inc.php mit https sind, wo soll der Shop dann auch Urls ohne https herbekommen?

Hat sich erledigt. Ich hatte nur was in der SSL.config falsch eingetragen.

Das eigene Zertifikat funktioniert jetzt. Dafür schlage ich mich schon seit Stunden mit dem neuen Zertifizierten ssl rum.

Für heute ist Schluss.

So jetzt habe ich auch das mit https hinbekommen. Nur sind jetzt die rating Sterne weg.

Beim Test waren die noch da. Was kann man da machen?

Was sagt die Developer-Konsole? Vermutlich (vermutlich, weil ich es nicht nachstellen kann) werden lediglich die Grafiken nicht angezeigt - das sähe man aber eben in der Devkonsole.