ubuntuusers.de

Hallo,, meine Website ist in der Adressleiste mit durchgestrichenem Schloss als unsicher gekennzeichnet. Es gibt Tipp beim Provider, PHP 5.6 auf 7.1 zu ändern. Hab ich gemacht, trotzdem ändert sich nichts. Ich habe Ubuntu 19.10. Was könnte ich tun?

Bin ich jetzt hier richtig? Und wo soll bitte email-Benachrichtigung vermerkt werden? Wenn ich die php-Version beim Host aktualisiere, sah ich eben, verschwindet der Inhalt meiner Website, sie ist leer. Die Adresszeile mit dem durchgestrichenen Schloss ist noch daist noch da.

zenzil schrieb:

Bin ich jetzt hier richtig?

Hallo!

Ist schwierig zu beantworten, ob du hier richtig bist, da du dich an ein anderes Thema angehängt hast, keine relevanten Informationen geliefert, als auch die im Originalthema verlinkten Hinweise nicht befolgt hast. Um das klarzustellen, arbeite doch mal die Hinweise in Richtig Fragen ab, damit die potentiellen Helfer hier einen Überblick über dein System bekommen, was du gemacht hast und mit welchen Ergebnissen.

Mit den Informationen gucken wir, ob du hier richtig bist.

Das mit dem Schloss ist nur HTTPS, PHP ist eine andere Baustelle. Kann dein Webserver HTTPS und ist es aktiviert? Wenn ja, sollte man https://www.deinedomain.com aufrufen können, er meckert dann nur, weil kein Zertifikat kommt. So eines brauchst du aber. Gibt es z.B: bei Let's Encrypt kostenlos. Du musst uns aber mitteilen, was für ein Webserver (apache2, nginx, httpd) da läuft.

Hallo, Ich habe alles Empfohlene durchgelesen und versuche, mich verstehbar auszudrücken. Mein Host liefert zur Domain 1 SSL-Zertifikat mit. Es ist aktiviert. Ich könne noch https erzwingen anklicken, bietet er an. Dann erscheint die Startseite meiner Website in Druckansicht, dann nach dem Klick auf die nächste Seite, die gestaltete Form mit gesperrtem Schloss in der Adresszeile. Es gibt noch eine Anweisung im Host, wie man auf eine aktueller php-Version umstellt. Hätte das einen Einfluss auf das SSL-Zertifikat vom Host? Ich habe einen FTP-Server. Angaben zu (apache2, nginx, httpd) kann ich nirgends entdecken.

Hast du denn den Server selbst eingerichtet oder wurde das von deinem Hosting-Anbieter gemacht? Ich würde bei dem mal nachfragen, wenn du da auf irgendeiner Oberfläche was ändern kannst.

DJKUhpisse schrieb:

Hast du denn den Server selbst eingerichtet oder wurde das von deinem Hosting-Anbieter gemacht? Ich würde bei dem mal nachfragen, wenn du da auf irgendeiner Oberfläche was ändern kannst.

Hallo, ich war in einer Linuxgruppe, der Leiter hat die Website beim Host angemeldet. Ich selbst habe zu wenig Kenntnisse wie das geht. Ich versuche es jetzt zum dritten Mal mit einer Anfrage beim Host, bisher bekam ich keine Antwort. Was meinst du genau mit "Ich würde bei dem mal nachfragen, wenn du da auf irgendeiner Oberfläche was ändern kannst", also wie und wo am besten nachfragen?

Für mich sieht das so aus, dass du da so ein Hosting-Paket hast und nicht direkten Zugriff auf den Server hast, also nicht ssh- oder Telnetzugriff auf das System selbst. Oftmals bietet die Konfiguratonsoberfläche die Option, HTTPS zu aktivieren. Entweder die bieten dir ein Zertifikat oder du musst selbst eines bereitstellen. Bei welchem Hoster bist du denn und was für einen Vertrag hast du?

Hallo, der Host heißt Strato und das Paket PowerWeb Basic

Nur zur Info: Host ist ein Rechner, Strato ist der Hoster, der für dich den Rechner bereitstellt. Da musst du mal in deinen Einstellungen bei Strato nachsehen, mache doch mal einen Screenshot davon und laden den hier hoch.

Hallo, anbei ein Anhang, Strato betreffend. Sorry, ist das gemeint?

Dann gehe die Einstellungen bei Strato durch und suche nach HTTPS. Gehe halt mal alles durch.

Hallo, ich finde nur das unten Angehängte und habe "Https erzwingen" aktiviert. Jetzt erscheint bei Aufruf meiner Website in der Adresszeile nur die Druckform, die Startseite mit schwarzem Schloss und alle folgenden Seiten mit einem schwarz-gelben Schloss, weil Grafiken unsicher sein könnten. Hier die Strato-Hinweise, mehr als das scheint es nicht zu geben:

Strato-Anweisung:

Wie kann ich HTTP Strict Transport Security (HSTS) aktivieren?

Über die Funktion HTTP Strict Transport Security (HSTS) erhalten die Besucher Ihrer Webseite die Information, dass die Seite über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und dass diese Einstellung für längere Zeit im Browser zwischengespeichert werden soll. Das erspart den Besuchern zukünftig die URL der Webseite mit https:// einzugeben. Besonders hilfreich ist dies, wenn Besucher ein ungesichertes Netzwerk nutzen (z.B. ein öffentliches WLAN in einem Café), um die Seite aufzurufen. HSTS per .htaccess

Die Voraussetzung für HSTS ist, dass Ihre Website über ein gültiges SSL-Zertifikat verfügt. Wir empfehlen zusätzlich die Funktion „SSL erzwingen“ zu aktivieren. Bitte stellen Sie auch sicher, dass keine Probleme beim Aufruf per „https“ auftreten.

Mit folgender Zeile können Sie HSTS in der .htaccess-Datei aktivieren:

Header set Strict-Transport-Security "max-age=16070400"

Über den Parameter «max-age» wird die Dauer in Sekunden angegeben, für die die HSTS-Regel im Browser zwischengespeichert werden soll. Webseite in die Preload-List eintragen

Der Browser Google Chrome führt eine Liste der Domains, für die HSTS aktiviert ist. Das hilft bei der Lösung des Trust-on-first-use-Problems, und auch andere Browser wie Firefox, Safari oder Internet Explorer greifen auf diese Liste zurück.

Durch diese Liste wird schon beim ersten Aufruf garantiert, dass die URL über „https“ aufgerufen wird. Unter der Webseite hstspreload.org können Sie Ihre Domain kostenlos eintragen lassen

Folgende Punkte müssen für einen Eintrag auf der Preload-Liste erfüllt sein:

Ein gültiges SSL-Zertifikat „SSL erzwingen“ muss sowohl für die Domain, als auch alle Subdomains aktiviert sein Für die Domain ist der HSTS-Header mit gültigen Werten hinterlegt und wird ausgeliefert: «max-age» darf nicht unter 18 Wochen (10.886.400 Sekunden) gesetzt sein Das «includeSubdomains»-Token ist gesetzt Das «preload»-Token ist gesetzt Im Falle einer Weiterleitung, muss der HSTS-Header für die Quelladresse eingestellt sein

Anbei ein Beispiel für einen gültigen Eintrag für die Preload-Liste:

Header set Strict-Transport-Security "max-age=10886400"; includeSubDomains; preload

Es gibt keine Garantie für einen Eintrag in die Preload-Liste und es gibt grundsätzlich keine Möglichkeit diesen Eintrag nachträglich wieder zu entfernen. Bitte stellen Sie daher vor dem Eintrag Ihrer Domain in die Preload-Liste sicher, dass Ihre Webseite langfristig über „https“ erreichbar sein wird.

Sichern Sie Ihre Website durch die Verwendung von SSL! Erfahren Sie noch mehr darüber, wie STRATO Sie vor Schadsoftware schützt.

Ist die Zertifikatswarnung nun weg? Auf allen Unterdomains? Prüfe domain.de und www.domain.de Wenn es dir passt kannst du auch mal deine Domain nennen, wir prüfen das dann.

Zu den Bildern: Erstmal ignorieren, prüfe ob die per HTTPS eingebunden werden können. Ich kann mir das im Pale Moon Browser mit Strg+I anzeigen lassen. Ich sehe dann, was per HTTP und was per HTTPS geladen wurde.

Hallo,vielen Dank für die vielen Tipps und die Geduld! Warum kommt jetzt nur die Druckform an? Nur die Startseite ist mit einem schwarzen Schloss gekennzeichnet, alle anderen schwarz-gelb. Die Adresse lautet https://www.hmg-charisma-check.de