Seit heute lande ich auf einer leeren Seite (siehe Screenshot) mit der Adresse https://secure.mactechnews.de wenn ich mactechnews.de aufrufe. Ich nutze die Erweiterung "HTTPSEverywhere", sie fordert jede Seite via https an.

Scheint aber nicht so beabsichtigt zu sein, oder? Hat das sonst noch einer? :o

Ja, ich hab das auch.

Ja, das war nicht beabsichtigt. Ich habe die Umleitung korrigiert.

Kann mir jemand technisch mal erläutern warum https nicht direkt ausgeführt werden kann, sondern via einem iFrame?

Google behandelt http und https als zwei verschiedene Webseiten mit gleichem Inhalt und bestraft dann "beide" Webseiten.

Was hat das mit Google und "Strafe" zu tun? Google ist nicht schuld daran, wenn ihr da nur halbe Arbeit abliefert, welche unterm Strich zudem auch noch wenig bringt (außer: da haben wir schon mal was vorbereitet, schon mal was Kleines gemacht) in puncto Gesamtsicherheit der Seite (eben weil bzgl. https die gesamte Kette bis hin zum letzten Glied, bis hin zur letzten Fitzel-Grafik https sein sollte und muss, um wirklich effektiv und wirksam zu sein, jede kleinste http-Datei als Bestandteil der Kette und Seite konterkariert da den gesamten https-Ansatz, macht ihn zunichte).

Weshalb liefert ihr nicht den gesamten Content bis hin zur letzten Grafilk, ausdrücklich inklusive auch der Werbung auf der Site via https aus statt nur das Login-Feld via eingebettetem iFrame? Logisch, folgerichtig und konsequent, dass die Site insgesamt dann als unsicher oder eingestuft wird (und das zurecht nicht nur von Suchmaschinen wie Google, Bing etc. sondern von sämtlichen Browser-Herstellern ebenfalls), wenn auch nur ein Fitzelchen, auch nur eine einzige Datei davon nur noch per http ausgeliefert wird statt mit https. Wozu ist so eine "Krücke" via iFrame für das Login-Feld überhaupt notwendig? Weil das der einzige Bereich ist auf der Site, der von euch kontrolliert als https angeboten werden kann, da ihr auf dem Rest der Seite Content/Werbebanner habt, der sich eurer Kontrolle entzieht und der ungesichert per http geliefert wird? Wäre es da nicht eigentlich besser eurerseits und im Sinne der Sicherheit eurer Leser, auch jenen Content per https anzubieten, der per Werbung einfließt bzw. euch von Werbepartnern zu trennen, die euch keinen https-Content anbieten wollen oder können? Dann gibt es auch ein besseres Ranking bei Google, Bing & Co. (weil alle völlig im Konsens miteinander unisono dazu übergegangen sind zusammen mit allen Browser- und Betriebssystem-Herstellern, zwecks höherer Sicherheit für den Nutzer abgesicherte https-Webseiten zu forcieren und zu fördern und die Leute und Anbieter sanft zur Nutzung von https zu drängen, von http-Webseiten abzuraten und jene zunehmend auszuschließen und irgendwann ganz zu blockieren), und die Browser gleich welchen Herstellers meckern auch nicht mehr und zeigen durchgehend grün.

sierkb
Die Bestrafung hat nichts mit http/s zu tun, sondern mit dem Webseiteninhalt. Nur das technische Ranking wird von https minimal beeinflusst. Den Rest hast du dir ja in deinem Monolog schon selbst beantwortet. Google lieferte nicht alles in https, weswegen wir zu http gezwungen waren.

sb:

Welcher Art sieht denn das aus, das Du als "Bestrafung" empfindest? "Bestrafung" für welches "Vergehen"? Und was ist zu ändern, damit es anders ist? Welche fremdgelieferten Inhalte werden nicht per http geliefert und euch gegen euren Willen, gegen euer Einverständnis aufgezwungen? Ihr könnt sie nicht ablehnen und nur solche nehmen und einbetten, die per https geliefert werden?

sierkb
Korrekt! Google zertifiziert die Werbeanbieter und ermöglicht es gleichzeitig Seitenbetreibern nicht, Werbemittel nach https-Unterstützung zu filtern. Ein Ablehnung ist nur für den Einzelfall möglich. Immerhin: seit einigen Wochen gibt es eine https-Teilgarantie für die wichtigsten Formate.

sb:

Meinst Du das?

woorkup (01/2017): Google AdSense HTTPS Support Still Not 100%

woorkup (14.02.2016): How To Block Certain Google AdSense Ads

Google AdSense-Hilfe: Implementierung von Anzeigencode
SSL-Unterstützung mit AdSense-Anzeigencode

Nutzt ihr die von Google AdSense angebotene Block-Möglichkeit denn wenigstens, blockt ihr bereits und seid offen für Feedback, derlei Non-HTTPS-Werbung, die eine Full-HTTPS-Seite verhindern, euch zu melden, damit ihr sie dann gezielt blocken könnt?
heise zum Beispiel ist offen für sowas:
Quelle: , ,

sierkb
Ja, die aufgeführten Artikel spiegeln ganz gut die Situation wider. Wir blocken bereits viele Werbemittel, allerdings bislang überwiegend aufgrund unseriösen Inhalts, selten wegen technischer Probleme. Für Feedback bezüglich https-Problemen wären wir aber genauso offen. Seit einiger Zeit testen wir bereits die https-Umstellung intensiver und angesichts der sich verbessernden Situation bei Google-Diensten ist dies für die nahe Zukunft anvisiert, wenn alle Aspekte geklärt sind.

sb:

OK.

OK. Sehr gut. Sehr schön.

Sehr gut.
Darf ich das als ermutigendes Signal/Aufruf zur konstruktiven Mithilfe an uns alle verstanden wissen, im Sinne einer zügigen und schnelleren Verwirklichung des Ziels Full-https?

Warum nicht einfach https?

Die Bilder z.B. die Hintergrundbilder im #headderbanner seit 1-2 Tagen werden bei mir im Firefox nicht mehr angezeigt. Wurde zuvor dort schon HTTPS benutzt?

@ts
Die Bilder waren schon seit Wochen umgestellt, weswegen der Fehler bei deinen Browser-Plugins zu suchen ist.