HTTPS gesicherte Internetseite - Inhalt von anderem Server holen - Welches Zertifikat für den anderen Server?
Hallo,
auf einer gesicherten Seite wird eine Anwendung von einem anderen Server eingebungen. Diese Anbindung läuft bisher über HTTP, also nicht gesichert, da noch kein Zertifikat für den zweiten Server vorhanden ist.
Durch die interne HTTP-Anbindung wird die Seite als nicht sicher eingestuft und beim IE muss der "Gesamten Inhalt anzeigen" Button angeklickt werden.
Das soll jetzt geändert werden.
Jetzt hat mir ein "Fachmann" erzählt, man müsse auf dem zweiten Server ein Zertifikat für die Adresse des ersten Servers erstellen und installieren, da diese Adresse in der Adressleiste angezeigt und überprüft wird.
Ich bin der Meinung, dass das so nicht stimmt. Der Browser überprüft das Zertifikat der zusätzlich aufgerufenen Seite und entscheidet dann, ob es eine sichere Verbindung ist oder nicht. Also muss das Zertifikat auf die URL des zweiten Servers ausgestellt und installiert werden.
Ich bin mir meiner Meinung recht sicher, jedoch nicht 100%-ig.
Kann mich bitte jemand aufklären?
Vielen Dank,
Jaroslaw
auf einer gesicherten Seite wird eine Anwendung von einem anderen Server eingebungen. Diese Anbindung läuft bisher über HTTP, also nicht gesichert, da noch kein Zertifikat für den zweiten Server vorhanden ist.
Durch die interne HTTP-Anbindung wird die Seite als nicht sicher eingestuft und beim IE muss der "Gesamten Inhalt anzeigen" Button angeklickt werden.
Das soll jetzt geändert werden.
Jetzt hat mir ein "Fachmann" erzählt, man müsse auf dem zweiten Server ein Zertifikat für die Adresse des ersten Servers erstellen und installieren, da diese Adresse in der Adressleiste angezeigt und überprüft wird.
Ich bin der Meinung, dass das so nicht stimmt. Der Browser überprüft das Zertifikat der zusätzlich aufgerufenen Seite und entscheidet dann, ob es eine sichere Verbindung ist oder nicht. Also muss das Zertifikat auf die URL des zweiten Servers ausgestellt und installiert werden.
Ich bin mir meiner Meinung recht sicher, jedoch nicht 100%-ig.
Kann mich bitte jemand aufklären?
Vielen Dank,
Jaroslaw
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212215
Url: https://administrator.de/contentid/212215
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo @JaroslawS,
natürlich muss ein Zertifikat für den Server besorgt werden, welcher den Inhalt bereitstellt!
Wenn du also per
Ansonsten könnte ja jeder beliebigen Inhalt als vertrauenswürdig einstufen, in dem er ihn einfach innerhalb einer zertifizierten Seite einbindet.
Wenn dein 1. Server nun über andere Wege den Inhalt einbindet, ist das anders. Angenommen die Anwendung wird über einen Hintergrundprozess auf deinem Server stets aktuell gehalten: Dann kommt die Anwendung ja von deinem Server und hat keinerlei Merkmale mehr, dass diese von einem anderen Server stammt. Der Browser sieht nur: Das Ding kommt von dem Server, mit dem ich gerade verbunden bin und ein Zertifikat habe, alles OK.
Gruß,
@Snowman25
natürlich muss ein Zertifikat für den Server besorgt werden, welcher den Inhalt bereitstellt!
Wenn du also per
iframe
eine https-Seite einbindest, muss ein Zertifikat für den Server der Seite innerhalb des iframe
s vorliegen.Ansonsten könnte ja jeder beliebigen Inhalt als vertrauenswürdig einstufen, in dem er ihn einfach innerhalb einer zertifizierten Seite einbindet.
Wenn dein 1. Server nun über andere Wege den Inhalt einbindet, ist das anders. Angenommen die Anwendung wird über einen Hintergrundprozess auf deinem Server stets aktuell gehalten: Dann kommt die Anwendung ja von deinem Server und hat keinerlei Merkmale mehr, dass diese von einem anderen Server stammt. Der Browser sieht nur: Das Ding kommt von dem Server, mit dem ich gerade verbunden bin und ein Zertifikat habe, alles OK.
Gruß,
@Snowman25