Sichere HTTPS-Verbindung per .htaccess erzwingen (SSL/TLS)

verschlüsselte Verbindung erzwingen — HTTPS-Verbindung erzwingen

Nachdem Google die verschlüsselte SSL/TLS-Verbindung per HTTPS als Ranking-Faktor erklärt hat, stellen immer mehr Websitebetreiber auf eine verschlüsselte Verbindung um. Wenn HTTPS aktiviert wird, sollten ab dann alle Anfragen über die verschlüsselte Verbindung geschickt werden.

Sonntag, 24. August 2014

14 Kommentare

Web Development

Apache, htaccess, HTTPS, SSL, TLS

Dafür reicht ein einfacher Eintrag in der .htaccess-Konfigurationsdatei:

RewriteEngine On
RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L]

Soll hingegen nur in einem bestimmten Unterordner eine SSL/TLS_Verbindung erzwungen werden, kann in der .htaccess-Datei mit der Direktive location dieser Unterordner explizit ausgewählt werden. Die .htaccess-Datei muss dabei auch selbst im Unterordner liegen:

<Location /unterordner>
RewriteEngine On
RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L]
</Location>

Artikel teilen:

Über Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Weitere Blog-Artikel

Kommentare

Jean am 27. August 2014 um 07:00 Uhr

Seit wann gilt das denn für Google als Rankingfaktor? Davon habe ich noch gar nichts gehört. Ein prima Tip.

Ryan am 27. August 2014 um 11:09 Uhr

Danke für den Klasse Tipp! Werde ich gleich einmal ausprobieren!

Thomas am 29. August 2014 um 09:23 Uhr

Danke für die Anleitung!
Eine Frage habe ich noch:
Bestehende Linkstrukturen und Rankings müssen dann nochmal von vorn aufgebaut werden, oder? Immerhin hat sich ja überall der link geändert?

Oder sehe ich da gerade vollkommen was falsch?

Danke und Grüße
Thomas

TS am 11. September 2014 um 08:21 Uhr

Hallo Thomas,

wenn Weiterleitungen eingerichtet werden kann alles bestehen bleiben, da alle Links auch weiterhin aufgerufen werden können.

Grüße
Tobias

waseem akram am 11. September 2014 um 13:00 Uhr

Danke! Weil ich ein beginer auf der Website gefunden developer.I hier tolle Tipps für den Web-Entwickler.

Jonas Graber am 15. September 2014 um 09:15 Uhr

Hallo Tobias

Bei mir ist bezüglich deines letzten Kommentar eine kleine Frage aufgetaucht:
Könnte durch die Einrichtung von Weiterleitungen die Gefahr bestehen, dass sich die Ladezeit der Website entscheidend verändert oder wäre die Anpassung der einzelnen Linkstrukturen deren Aufwand dennoch wert?

Beste Grüsse
Jonas

Peter Dirscherl am 16. November 2014 um 23:34 Uhr

Die Antwort auf die letzte Kommentarfrage würde mich auch interessieren.

Tobias Scheible am 14. Dezember 2014 um 16:14 Uhr

Durch die Weiterleitung ändert sich die Ladezeit nicht, da diese komplett auf dem Webserver stattfindet. Der Browser stellt quasi die Anfrage, und der Server liefert diese aus, mit dem Hinweis das sich die URL geändert hat. Der Browser stellt dann die neue URL in der Adressleiste dar.

Webspace - HTTPS-Verbindung erzwingen | Patricias Notizen am 4. Januar 2015 um 08:38 Uhr

[…] https://scheible.it/https-verbindung-erzwingen/ […]

Ben am 18. September 2015 um 16:49 Uhr

RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L] HTTPS_HOST ???

Ist der Slash hier nicht zu viel?
Das ist zwar nur ein Schönheitsfehler, aber bei mir wird sonst immer, wenn ich http://beispiel.de/index.html aufrufe, auf https://beispiel.de//index.html umgeleitet.

Coop am 11. Dezember 2015 um 18:17 Uhr

Hallo Tobias,

ich habe mir vor kurzem ein SSL-Zertifikart geholt und jetzt habe ich das 1. genommen, da ich meine Webseite komplett nur über das SSL erreichbar sein soll.

Leider wird bei dem aufrufen meiner Domain was hinten dran gehänkt https://meinedomain.de/.redirect.php daher wird bei meiner Webseite ein Fehler Angezeigt.

Ich benutze WordPress fals diese Info benötigt wird.

Maik am 31. Mai 2016 um 10:13 Uhr

Mich hat die Umstellung der Rewrite Condition in der Sichtbarkeit weit nach vorne gebracht. Vielen Dank dafür.

Mario am 27. Oktober 2017 um 11:37 Uhr

Muss man anstatt des Tags HTTPS_HOST eine Domain oder eine IP-Adresse eingeben oder ist das die korrekte Syntax? Kannst du mir die Tags genauer erklären?

danke und Lg.
Mario

Tobias am 1. November 2017 um 10:03 Uhr

Hallo Mario,

das ist der komplette Syntax und kann direkt verwendet werden. HTTP_HOST ist dabei eine Variabel die die aktuelle Domain beinhaltet.
RewriteCond %{HTTPS} !^on$ [NC] überprüft ob HTTPS nicht aktiviert ist
RewriteRule . https://%{HTTP_HOST}/%{REQUEST_URI} [L] nimmt die Weiterleitung vor

Grüße
Tobias

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <cite> <code> <del datetime=""> <q cite=""> <strike> <hr> <big>