Direkt zum Inhalt wechseln
Blogpost in
encryption

TYPO3 auf HTTPS umstellen | How-to

Laptop mit Typo3 Logo auf dem Screen und einem lila Hintergrund mit einem Halbkreis von rechts
time to read icon 4 Min

So klappt die SSL-Umstellung des Content-Management-Systems TYPO3 reibungslos und sicher.

Published by

Author

Simone Catania

Date

04.04.2023

Die Implementierung der SSL-Zertifikate erfordert einige manuelle Schritte und funktioniert zudem in jedem CMS ein bisschen anders.

Wir erklären Schritt für Schritt, wie die Umstellung in TYPO3 problemlos funktioniert.
TYPO3 ist besonders in DACH eines der am häufigsten genutzten CMS. Zudem ist es auch das sicherste OpenSource-CMS. Zusätzlich sollten die Verbindungen der Seite über HTTPS abgesichert werden, damit sie noch besser vor Hacking-Angriffen geschützt ist.

Eine über HTTPS verschlüsselte Verbindung bietet viele Vorteile:

  • Sichere Transaktionen: Persönliche Daten werden verschlüsselt übertragen
  • Schutz von Kundendaten
  • PCI-Konformität: Daten werden ausreichend vor Diebstahl geschützt
  • Browserleiste wird als vertrauenswürdig angezeigt

Die Umstellung des Systems auf HTTPS ist mit den richtigen Handgriffen schnell erledigt. Die Basis bildet natürlich ein passendes SSL-Zertifikat, das beim Hoster des Vertrauens bestellt werden kann. Falls Sie das SSL-Zertifikat nicht bei dem Hoster bestellen möchten, bei dem Ihre Domains gehostet sind, müssen Sie die IP (A-Record) umstellen. Um mehr über SSL-Zertifikate und die verschiedenen Sicherheitsstufen zu erfahren, können Sie sich hier informieren.

Wenn mehrere Domains auf die Hauptdomain verweisen, denken Sie unbedingt daran, 301-Weiterleitungen auf die jeweiligen HTTPS-Domain einzurichten. Sonst entsteht Duplicate Content.

Und noch bevor es im TYPO3-Backend zur Sache geht, muss zunächst die Domain mit einem SSL-Zertifikat gesichert werden.

Zuerst sollte in TYPO3 die Umstellung des Frontends in Angriff genommen werden:

1. TypoScript-Templates ändern

Der erste Schritt besteht in der Umstellung der HTTP-Angaben in den TypoScript-Templates von HTTP auf HTTPS. Damit im Frontend alle URLs auf die HTTPS-Domain umgestellt werden, müssen die baseURL bzw. absRefPrefixe abgeändert werden.
Im Code kann das je nach TYPO3 Version wie folgt aussehen:

Dies betrifft zum Beispiel Templates von JavaScript oder externen Ressourcen (Schriftarten, jQuery) sowie baseURL-Angaben. Die betroffenen Stellen kann man leicht im Quellcode (bspw. durch das Link-Tag oder ein SRC-Java-Script-Tag) finden und abändern.

Ab der TYPO3 Version 9 erfolgt die Umstellung über den Site Manager. Hier sollte überprüft werden, ob beim Entry Point die Hauptdomain mit “https” versehen ist.

Im Anschluss sollten neu angelegte Unterseiten automatisch auf den verschlüsselten Standard weitergeleitet werden.

2. Sicherstellen: alle Domains müssen auf HTTPS verweisen

In diesem Schritt sollte zur Überprüfung der Cache-Speicher im Browser gelöscht und die Website im Anschluss aufgerufen werden. Wenn das HTTPS automatisch vorangestellt wird, auch ohne explizite Eingabe, hat die Umstellung funktioniert.

Außerdem ist eine Konfiguration der .htaccess-Datei im Root-Verzeichnis notwendig.

Diese muss um folgenden Code ergänzt werden:

RewriteCond %{Server_Port} !^443$

RewriteCond %{HTTP_HOST} ^www\.Beispiel\.de$ [NC]

RewriteRule ^(.*)$ https://www.Beispiel.de/$1 [R=301,L]

oder du erzwingst die HTTPS Umstellung mit:

RewriteEnginge On

RewriteCond %{HTTPS} !=on

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

3. Umstellung im TYPO3-Backend

Im Anschluss muss man die SSL-Umstellung im TYPO3 Backend erzwingen. Dies ist ein Schritt, der häufig vergessen wird, für eine vollständige und saubere Umstellung jedoch notwendig ist. Um auch das Backend umzustellen, muss das Install-Tool unter Einstellungen aufgerufen werden. Die Umstellung erfolgt dann über All Configuration -> TYPO3_CONF_VARS -> [BE][lockSSL] = 2. Um sicher zu gehen, ist auch hier wieder eine Überprüfung empfehlenswert.

War die Umstellung erfolgreich, sollte nun ein kleines grünes Schloss in der Browserleiste zu sehen sein. Ist dies nicht der Fall und erscheint stattdessen ein gelbes Warndreieck, liegt dies wahrscheinlich an einigen noch nicht verschlüsselten Ressourcen. In diesem Fall sollten Sie sich den Quelltext noch einmal genau anschauen und nach „http“ durchsuchen. Häufig wird die Umstellung bei Tracking-Software oder über Google eingebundenen Schriftarten in ausgelagerten CSS-Dateien vergessen.

Weiter zu AutoDNS icon-arrow--right