SSL bei 1und1 - einzelne Seiten Zuweiseung funktioniert nicht

    Hallo,


    ich habe bei 1und1 SSL Starter aktiviert für eine Domain.
    Da bei der Webseite teils IFRAME eingebunden werden die nicht per SSL aufrufbar sind möchte ich nun einzelne Seiten per SSL aufrufen.
    Konfiguration: SSL keine
    Menüpunkt Kontakt - meta Daten - HTTPS-Sicherheit - An


    Tja nun hab ich die SSL auf allen Menüpunkten?
    Mach ich da was falsch oder geht das bei 1und1 nicht und so bald SSL aktiviert wird verschlüsselt das auch Joomla ohne zutun über die generlle Einstellung?

    Frag doch mal 1und1.
    Ansonstne ist bei mir auch alles https. Wenn von dort verlinkungen zu nicht https-Seiten sind, dann schimpft auch immer zu der Browser. Und Google dann auch. Ist doch Sinn der Sache, dass die Site dem Security-Standard entspricht, Was sie ja nicht mehr tut, wenn das nur für einzelne Seiten gelten würde.



    Axel

    Ich weiß jetzt nicht genau, welche Möglichkeiten dein Hoster bietet, aber grundsätzlich hast du folgende Möglichkeiten:
    - SSL im Backend aktivieren (dann lassen sich über Joomla auch Ausnahmen machen)
    - Weiterleitung in .htaccess (dann wird immer versucht, über https aufzurufen, also keine Ausnahmen möglich)
    - Hosterseitige Weiterleitung (da muss meist ein Haken irgendwo in den Einstelllungen gesetzt werden). Davon raten manche Hoster aber ab und empfehlen die .htaccess-Einträge


    Keinesfalls solltest du hier versuchen, irgendwelche Kombinationen zu realisieren. Das geht schief. Entscheide dich für eine der Möglichkeiten!
    Wichtig: Unterscheide zwischen Aktivierung und 1&1-Einstellung der https-Weiterleitung (sofern vorhanden).


    Die Frage ist aber, inwieweit es Sinn macht, einzelne Seiten nicht über https aufzurufen. Siehe Kommentar von time4mambo.

    Danke für die Hinweise.
    Der Sinn besteht ja nur darin da es 4 Seiten gibt die externe IFrame Einbindungen haben die dann nicht mehr gehen da diese halt nicht per ssl aufrufbar sind.


    Ich muss mal die generelle Joomla SSl aktivieren und bei den Seiten ausschliessen. Diese Variante habe ich noch nicht versucht.

    Du musst also darauf achten. dass die Seite über http und https aufraufbar ist, was natürlich Potential für DC hat, wenn man nicht aufpasst.
    Beachten sollte man auch, dass der Hoster nicht schon serverseitig eine 301 für http generiert. Unter Plesk z.B. kann man das z.B. einstellen.

    Muss hier leider noch mal nachhaken.


    Das ganze funktioniert aus meiner Sicht von joomla aus nicht so wie gedacht!


    Einstellung Konfiguration:
    System - HTTPS erzwingen - ganze Webseite


    Ein einzelner Menüpunkt:
    Metadaten - HTTPS-Sicherheit - aus


    Der Menüpunkt wird aber trotzdem mit SSL geöffnet. Der einzige Unterschied ist:
    Wenn ich mit der Maus auf den Menüpunkt fahre wird nur www.xxx angezeigt, im Browser kommt aber trotzdem htpps://www.xxx
    Hab ich nicht aus wird schon bei Mouseover im Menüpunkt https://www.xxx angezeigt
    Was soll dann das aus bedeuten wenn es sich nicht auch auf den Browseraufruf bezieht?


    Wenn ich in der Konfiguration die SSl ausschalte ist die Seite auch komplett nicht per SSL gesichert, also von 1und1 kommt es nicht generell!

    Ich kann das so bestätigen. Im Menü steht http:// bei "SSL aus" für den einzelnenMenüeintrag. Seite wird aber trotzdem auf SSL umgeleitet und ist mit http:// in Adresszeile nicht aufrufbar.


    Hab HSTS-Einträge für die Testseite in meinem FF-Browser (SiteSecurityServiceState.txt) gelöscht und schon vor Tagen beim Provider alle Einstellungen geprüft (kein Erzwingen, kein HSTS) und sonstige Weiterleitungen.


    Ich habe ein Let'sEncrypt-Zertifikat auf der Seite.


    Ohne SSL in der Hauptkonfiguration ist http:// möglich. Fieses Browsergedächtnis schließe ich also aus.


    EDIT: Verwechslung durch Umleitung auf anderen Menüeintrag habe ich jetzt auch noch ausgeschlossen.


    EDIT2: Kein "Website-Domain" im SEF-Plugin. Kein live_site in der Konfiguration.

    Nicht, dass ich es nicht geahnt hätte. Das sei das erwartete Verhalten wurde mir auf Github geantwortet. Wenn ein Super User SSL in der Konfiguration aktiviert hat, soll das niemand überschreiben dürfen. TockTockTock.


    EDIT: Gerade räumt aber wer anders ein, dass vielleicht die Antwort, das sei erwartetes Verhalten, nicht richtig ist. Schaun wir mal ;) Zu früh geärgert...


    Dir bleibt also, zumindest momentan, nur, wenn du ausschließlich mit Backend arbeiten willst, in allen Menüeinträgen die jeweils gewünschte Einstellung An/Aus zu machen. EDIT: Wobei ich, ohne es ausprobiert zu haben, vermute, dass man dann trotzdem die Seiten mit An via Browser-Adresszeile als http aufrufen kann, weil dann der SiteRouter sich gar nicht aufgefordert sieht, auf https umzuleiten.


    Oder halt mir htaccess steuern. Hab leider vergessen, wo das schon mal Thema war und, ob ich mich beteiligt hatte. Irgendeines der Foren.