mir ist gerade aufgefallen, dass der Link, der in der Passwort Recovery E-Mail versendet wird, kein https generiert. Im Template steht ja folgender Link:
ich habe eine Lösung gefunden. index.php?shp=oxbaseshop wurde bereits von getSslSelfLink generiert, dadurch entstand folgendes Konstrukt mit zwei Fragezeichen: index.php?shp=oxbaseshop&index.php?cl=forgotpwd&uid=12345&lang=0&shp=oxbaseshop. Das hatte ich übersehen.
index.php? muss also raus aus dem Link und &shp=[{ $shop->oxshops__oxid->value }] kann auch weg.