Sub-Domain beim Aufruf von tramwayforum.at in Chrome

[marq]

Mir ist aufgefallen, dass bei einer Neuinstallation von Chrome oder dem Löschen der Cookies usw man in der Adresszeile zumindest die Sub-Domain www. vor tramwayforum.at eingeben muss und man nicht wie beim Aufruf aller anderen Seiten in Chrome nur tramwayforum.at eingeben kann um die vollständige Seite zu laden. Lässt man das www. weg öffnet sich die textmarignalisierte Seite https://tramwayforum.at. Ist dies so beabsichtigt, oder liegt hier in den Tiefen der Forenprogrammierung ein Bug begraben?

[pascal]

Das ist schon seit Jahren so, auch in anderen Browsern.
Es ist wohl ein Fehler in der Webserver-Konfiguration und hat etwas mit der Weiterleitung von "http://" auf "https://" zu tun.

Wenn man die Seite direkt nach dem Start des Browsers mit "tramwayforum.at" aufruft (also ohne "https" und ohne "www"), wird man zwar auf "https://tramwayforum.at" weitergeleitet, die im Quelltext enthaltenen Verweise auf die inkludierten Dateien (insbesondere auf das Stylesheet) beginnen aber weiterhin mit "http://" (und nicht mit "https://"). Deshalb empfindet der Browser sie als unsicher und lädt sie nicht. Daher wird die Seite dann ohne Stylesheet angezeigt.

Die Links zu den weiteren Seiten haben aber sehr wohl das "https://" drinnen, sodass nach einem Klick darauf dann alles passt.

[marq]

Genau, erst die Links sind dann richtig gesetzt. Kann es sein, dass da auch ein Problem mit dem SSL-Zertifikat besteht? Immerhin wird die Seite bei Chrome und Firefox einmal als sicher und ein mal als nicht sicher angezeigt und es lässt sich jede von mir zum Testen geöffnete Seite des Forums als nicht SSL- Seite öffnen. Das sollte bei SSL-Seiten doch gar nicht möglich sein, etwa in Hinblick auf die Verschlüsselungspflicht.

[Paulchen]

Kann es sein, dass da auch ein Problem mit dem SSL-Zertifikat besteht?

Nein, das Zertifikat ist in Ordnung und für beide Domains gültig.

[ Für Gäste keine Dateianhänge sichtbar]

Immerhin wird die Seite bei Chrome und Firefox einmal als sicher und ein mal als nicht sicher angezeigt

"Nicht sicher" heißt in dem Zusammenhang, dass die Seite so konfiguriert ist, dass Ressourcen von Nicht-HTTPS-URLs nachgeladen werden. Chrome unterbindet das aber, deswegen sieht die Seite kaputt aus.

und es lässt sich jede von mir zum Testen geöffnete Seite des Forums als nicht SSL- Seite öffnen. Das sollte bei SSL-Seiten doch gar nicht möglich sein

Das kann man so konfigurieren, ich würde es auch als Best Practice bezeichnen, aber unzulässig ist das nicht.

Ich würd den Server so konfigurieren, dass http://tramwayforum.at, https://tramwayforum.at und http://www.tramwayforum.at alle auf https://www.tramwayforum.at weitereiten, dann wäre das vorliegende Problem Geschichte. Und ich würd HSTS konfigurieren.

etwa in Hinblick auf die Verschlüsselungspflicht.

Was ist eine Verschlüsselungspflicht?

[marq]

Danke für die Info.

Zur Verschlüsselungspflicht: Eine Verschlüsselung ist soweit mir bekannt Pflicht sobald auf einer Website in irgendeiner Form personenbezogene Daten verarbeitet oder übertragen werden, wie etwa hier bei der Registrierung die Emailadresse. Das setzt für die Seite doch https zwingend voraus, oder nicht?

[Halbstarker]

Muss ich mir Sorgen machen, weil ich die hier geschilderten Probleme nicht habe?