blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
medium transport-http-not-redirected

Reines HTTP wird nicht auf HTTPS umgeleitet

Ihre Seite hat HTTPS, aber wer die Adresse ohne "https://" tippt, landet weiterhin auf der ungesicherten Variante. Der Fix ist eine einzige Zeile und schließt eine real ausgenutzte Lücke.

Worum es geht

Ihre Seite ist über HTTPS erreichbar (die Variante mit Schloss und Verschlüsselung), aber zusätzlich auch noch über reines HTTP, die ältere unverschlüsselte Variante. Tippt jemand ihre-domain.de (ohne https://) in die Adresszeile, schickt der Browser zunächst einen unverschlüsselten HTTP-Request, und Ihr Server antwortet artig.

Jede moderne Seite schließt das mit einer einzelnen Weiterleitung, die sagt “geh stattdessen auf die HTTPS-Variante”. Ohne diese Weiterleitung bleibt die ungesicherte Variante erreichbar, und ein Angreifer im Netz kann Besucher:innen dort halten.

Warum das wichtig ist

Drei konkrete Risiken:

  1. Session-Hijacking beim ersten Besuch. Eine wiederkehrende Kundin tippt Ihre Domain. Der Browser versucht zuerst HTTP. Ein Angreifer im Netz fängt den unverschlüsselten Request ab und liefert eine gefälschte Seite. Sie bemerkt nicht, dass sie nicht mit Ihrem Server spricht.

  2. SSL-Stripping. Ein technisch versierter Angreifer im Netz leitet HTTPS heimlich an Ihren Server weiter und liefert Besucher:innen die unverschlüsselte Variante. Ohne HSTS bleibt “kein Schloss” das einzige Signal, und das übersehen die meisten.

  3. HSTS kann nicht greifen. HSTS (die nächste Schutzschicht, siehe HSTS-Artikel) wirkt erst, nachdem die Person mindestens eine erfolgreiche HTTPS-Verbindung hatte. Solange Besucher:innen weiterhin zuerst auf Klartext-HTTP landen, kommt HSTS nie zum Einsatz.

Die Behebung ist im Wesentlichen kostenlos und beseitigt alle drei Risiken.

So beheben Sie das

Wer Ihren Webserver verwaltet, ergänzt eine einzelne Regel: “alles, was über reines HTTP reinkommt, mit einer Weiterleitung zur HTTPS-Variante beantworten”. Typ 301 (dauerhaft), nicht 302: Browser und Suchmaschinen cachen 301-Antworten, was hier gewünscht ist.

Übliche Server-Snippets:

nginx:

server {
  listen 80;
  server_name ihre-domain.de www.ihre-domain.de;
  return 301 https://$host$request_uri;
}

Caddy macht das automatisch, sobald HTTPS konfiguriert ist; kein zusätzlicher Block nötig.

Apache in .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Cloudflare hat den passenden Schalter im Dashboard: SSL/TLS → Edge Certificates → “Always Use HTTPS”.

Nach dem Deployment im Terminal prüfen mit:

curl -I http://ihre-domain.de/

Sie sollten HTTP/1.1 301 Moved Permanently sehen, dazu einen Location:-Header zur https://-Variante. Auf Hauptdomain, www-Variante und einer beliebigen Unterseite (/eine/seite) prüfen.

Wenn die Weiterleitung ein, zwei Wochen sauber läuft, anschließend HSTS als nächste Schicht aktivieren. Das verhindert auch den ersten Klartext-Versuch des Browsers.

Mehr dazu