it-swarm.com.de

SSL-Iframe ist in andere Websites eingebettet

Iframe von einer Domäne mit SSL-Zertifikat wird auf einer anderen Site (foo.com) eingebettet. 

  1. Muss foo.com ein SSL-Zertifikat besitzen?
  2. Wenn foo.com ein SSL-Zertifikat hat, liegt dann ein Sicherheitsfehler vor? foo.com hat ein SSL-Zertifikat für foo.com, die iframe-Domäne verfügt jedoch über ein anderes SSL-Zertifikat.
  3. Wenn foo.com kein SSL-Zertifikat besitzt, handelt es sich um einen Sicherheitsfehler?
30
Sanhe
  1. Nein.
  2. Sie erhalten nur einen Sicherheitsfehler, wenn die eingebettete Site SSL verwendet, die iFramed-Site jedoch nicht. Ob die Sites unterschiedliche Zertifikate verwenden oder nicht, spielt keine Rolle.
  3. Nein. (Ist dies nicht die gleiche Frage wie bei # 1?)

Zusammenfassung

Unterschiedliche Zertifikate zwischen der Hauptseite und den iframed-Seiten sind kein Problem.

Das Einbetten von https://-Seiten mit <iframe /> auf einer http://-Seite ist kein Problem.

Wenn Sie jedoch eine https://-gesicherte Seite ausführen, die nicht sichere Seiten über http:// einbettet, erhalten Sie möglicherweise Folgendes (Internet Explorer):

enter image description here

Das hängt vom Browser und seinen Einstellungen ab. In IE können Sie dies beispielsweise deaktivieren:

enter image description here

28
Tower

Der beste Weg, um einen iFrame anzusehen, ist, ihn fast als einen separaten Browser anzusehen. Wenn foo.com kein SSL ist, die iFramed-Site jedoch SSL ist, erhalten Sie keine Fehler.

Wenn Sie dies ändern, wo foo.com über SSL verfügt und die IFramed-Site nicht, können Sie vom Browser eine Sicherheitswarnung über gemischten Inhalt erhalten.

7
Mitchel Sellers

Es spielt keine Rolle, ob die beiden Websites unterschiedliche SSL-Zertifikate verwenden. Wenn die von iframe erstellte Website jedoch nicht SSL-geschützt ist, wird eine teilweise verschlüsselte Fehlermeldung angezeigt, auch wenn die Website, auf der der iframe eingebettet ist, SSL-geschützt ist. Ich weiß das nur, weil ich gerade damit zu tun habe. Meine Webseite war nur geschützt, nachdem ich die iframed-Website ohne SSL-Schutz entfernt hatte. 

1
Ben Lewis

Während die Hauptwebsite (die den iframe enthält) nicht mit SSL arbeiten muss, sollte sie dies zumindest tun, wenn es um die Sicherheit geht (was der Einsatz von SSL ist).

Andernfalls kann der Benutzer nicht überprüfen, ob der Iframe tatsächlich sicher ist und von welcher Site er stammt. Dies macht die Verwendung von SSL unbrauchbar. (Beispiele hier .)

0
Bruno