Verzeichnisschutz und SSL

**Feuerstern** · 06.08.2021 18:17

Hallo zusammen,
ein paar Unterseiten meiner Webseite habe ich per Verzeichnisschutz (.htaccess + .htpasswd) abgesichert. Was mir allerdings aufgefallen ist:
Selbst wenn ich das Verzeichniss über https Aufrufe meldet mein Browser "Die Verbindung zu dieser Website ist nicht sicher":
[Bild: htaccess_schutz.jpg]

Ein SSL Zertifikat ist eingebunden und der Rest der Seite ist auch abgesichert. Nachdem ich mich eingeloggt habe zeigt mir mein Browser auch an das die Verbindung sicher ist. Bedeutet das die Daten werden unverschlüsselt zum Server gesendet, selbst wenn man Verzeichnisschutz zusammen mit https verwendet?

**Lookbehind** · 06.08.2021 18:25

Da musst du schon ein bisschen konkreter sagen, was du da gemacht hast, was das für Zertifikate sind, wie du die angebunden hast, etc. pp.

Hast du volle Kontrolle über den Webserver? Oder ist das gemieteter Webspace? Welche Einstellungsmöglichkeiten hast du?

**Feuerstern** · 07.08.2021 13:16

Es ist gemieteter Webspace und es handelt sich um ein LetsEncrypt Zertifikat. Dieses lässt sich direkt im Backend erstellen und einbinden. Ich habe SSH Zugriff auf den Server aber keine Admin Rechte. Ich kann per php ini einige Einstellungen setzten ansonsten habe ich nicht viele Kontrollmöglichkeiten.

**Lookbehind** · 07.08.2021 13:53

Ok, wenn du deinen vHost nicht komplett verstellt hast, und die .htaccess-Datei nicht irgendwelche komischen Redirects baut, sollte das eigentlich auch mit Zertifikat funktionieren. Stellt sich die Frage, was du in deiner .htaccess-Datei eingestellt hast.

(Ich tue mich ehrlich gesagt schwer, mir ein Szenario aus zu denken, was zu so einem Verhalten führt. Daher gerade etwas stochern im Nebel und hoffen auf Details.)

***Thoronador*** · 07.08.2021 21:47

Zitat von Feuerstern

Selbst wenn ich das Verzeichniss über https Aufrufe meldet mein Browser "Die Verbindung zu dieser Website ist nicht sicher"

Das hängt natürlich vom Browser und den konkreten Seiteninhalten ab, aber solche Meldungen können im Browser auch schon erscheinen, wenn die Webseite an sich zwar über HTTPS läuft, aber einzelne Elemente darauf (z. B. Grafiken oder JavaScript-Dateien) weiterhin über HTTP eingebunden sind. Also sowas wie <img src="http://..." /> im HTML-Code der Seite könnte da schon reichen, damit der Browser eine solche Meldung anzeigt.

**Feuerstern** · 08.08.2021 17:32

Ich habe mal ein minimal Beispiel erstellt.
/home/Feuerstern/www.meine-webseite.de/TestSeite/index.html:

Code:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title>Test Seite</title>
    </head>
    <body>
        <p>Hallo Welt</p>
    </body>
</html>

/home/Feuerstern/www.meine-webseite.de/TestSeite/.htaccess:

Code:

AuthUserFile /home/Feuerstern/www.meine-webseite.de/TestSeite/.htpasswd
AuthGroupFile /dev/null
AuthName "Passwortgeschuetzter Bereich!"
AuthType Basic
Require valid-user

Jetzt rufe ich die Seite folgendermaßen auf:
'https://www.meine-webseite.de/TestSeite/index.html'
Dann werde ich nach Nutzername und Password gefragt. Allerdings sieht es wie im Eingangspost aus. ein (i) und dann die Info das die Verbindung nicht sicher sei. Nachdem ich mich angemeldet habe wird die Seite aber als sicher angezeigt.

In /home/Feuerstern/www.meine-webseite.de/ ist keine .htaccess Datei die da noch zwischen funken könnte

Verzeichnisschutz und SSL

Themen-Optionen

Verzeichnisschutz und SSL

Berechtigungen