# Https/SSL zerschießt Webseite



## elPlantador (14. November 2014)

Guten Morgen!

Ich habe folgendes Problem: Kürzlich wurde ein SSL Zertifikat für unsere Webseite eingerichtet. Wenn ich diese nun mit https:// aufrufe, lädt das Javascript nicht mehr und Javascript basierte Sachen (z.b. ein Slider) wird zerschossen. CSS funktioniert. Hat jemand nen Tipp was ich da versuchen könnte?

Viele Grüße und Danke!


----------



## SpiceLab (14. November 2014)

Bezieht die Webseite eine JS-Bibliothek von einem Fremdserver (z.B. ajax.googleapis.com/.../.../)?

Wie sind die JS-Dateien im HTML-Code referenziert?


----------



## elPlantador (14. November 2014)

Von einem Fremdserver werden keine JS-Bibliotheken bezogen, liegen alle aufm Webspace.



SpiceLab hat gesagt.:


> Wie sind die JS-Dateien im HTML-Code referenziert?


Wie meinst Du das genau?


----------



## sheel (14. November 2014)

Sind die JS-Pfade, die im HTML eingetragen sind, einfach zB. "bla.js" oder "http://www.blub.de/ordner/bla.js"?
Kann man sich die Seite irgendwo live anschauen?


----------



## SpiceLab (14. November 2014)

Ob es sich um  vollständige URIs, oder absolute / relative Pfadangaben relativ zum Basis-URI handelt? 

Edit: Siehe die beiden genannten Beispiele von @sheel


----------



## elPlantador (14. November 2014)

Achso, verstehe. ;-)

Die Pfade sind absolut eingetragen.

Das wäre die Seite.


----------



## Alice (14. November 2014)

Vorweg: Ich bin in Sachen JS (und alle "Unterarten") ein völliger Anfänger. Sprich: Hab kaum Plan davon.

Aber... (vielleicht hilft es ja)

Dein Quelltest:

```
https://www.manager-institut.de/fileadmin/js/jquery_sf.js?1375518956
```

Sucht man nun in dieser ".js" Datei nach "http" gibt es viele Treffer. Vielleicht liegt hier das Problem!?

PS: Mein Browser erkennt Deine Webseite "als Gefahr"...

Edit:

Wenn ich es richtig verstanden habe, könnte auch so etwas helfen:

```
<script src="//www.example.com/whatever.js" type="text/javascript"></script>
<img src="//www.example.com/someimage.png" alt="whatever"/>
<link href="//www.example.com/styles.css" rel="stylesheet"/>
```

Aber nicht böse sein, wenn ich komplett daneben liegen sollte. 

Edit:

Wenn ich Deine Webseite im IE öffne und die Warnung ignoriere und "alle Inhalte anzeigen" anklicke, sieht die Seite super aus. Genau wie die http Seite.

Edit:

Wenn ich im Firefox links neben der URL (Adresszeile) klicke, öffnet sich ein kleines Fenster wo ich "blockieren" aufheben kann. Dann ladet die Seite auch Einwandfrei wie im IE.


----------



## sheel (14. November 2014)

Also, die Pfade sind tatsächlich ganz schön durcheinander.

Sobald man seinem Browser ausreichend versichert hat, die Seite tatsächlich öffnen zu wollen,
gibt es grob folgende Kategorien, woher Sachen geladen werden sollen:
a) Die genannte Domain selber (ohne "www"), teilweise mit HTTPS, aber teilweise auch noch HTTP.
b) Die Subdomain "blog", nur HTTP.
c) Viele der Dateien, die von der Hauptdomain angefragt werden, haben eine 301-Umleitung auf blog.
Auch HTTP. Auch ohne dem Sicherheitsproblem wäre da was zum Nachbessern
d) fonts.googleapis.com, auch nur HTTP
e) i1.ytimg.com (Bilder von Youtube), auch nur HTTP.

Das ganze HTTP muss weg. Scheinbar sind im ganzen Seitencode viel zu viel absolute Pfade verstreut.

PS: Das Seitenzertifikat ist von euch selbst erzeugt?
So gehen die Browserwarnungen nie weg.


----------



## SpiceLab (14. November 2014)

...

f) Im <base>-Tag der Startseite wird als Basis-URI "www.manager-institut.de" ohne das Protokoll "https://" genannt, was http://www.manager-institut.de/ gleichkommt; in den Seiten wie z.B. "Seminare" steht hingegen  "http://www.manager-institut.de".

Edit: In der "Typo3-Fehlerseite" https://www.manager-institut.de/foobar/ stimmt die Angabe seltsamerweise:

```
<base href="https://www.manager-institut.de/" />
```
... nur kommt hier kein JS zum Einsatz


----------



## elPlantador (17. November 2014)

Vielen Dank für tollen Antworten. Ich hatte leider noch keine Zeit etwas rumzusprobieren - scheint doch mehr Aufwand zu sein, als gedacht.
Ich werde die nächsten Tage mal etwas rumprobieren und dann Rückmeldung geben. 



sheel hat gesagt.:


> PS: Das Seitenzertifikat ist von euch selbst erzeugt?


Das ist das SSL Standardzertifikat von der Domainfactory.


----------

