TYPO3 auf HTTPS umstellen

So klappt die SSL-Umstellung des Content-Management-Systems TYPO3 reibungslos.


Nachdem wir Ihnen neulich in einem Tutorial die Umstellung von WordPress auf HTTPS gezeigt haben, folgt nun eines zum CMS TYPO3. TYPO3 ist besonders in Deutschland eines der beliebtesten und am meisten genutzten CMS. Die Umstellung des Systems auf eine sichere Verbindung ist mit den richtigen Handgriffen schnell erledigt. Die Basis bildet natürlich ein SSL-Zertifikat. Im Zuge der aktuellen Diskussionen rund um die Internet-Security müsste dies mittlerweile Standard sein. Zuerst sollte man in TYPO3 die Umstellung des Frontends in Angriff nehmen:

1.   TypoScript-Templates ändern

Zunächst sollten die HTTP-Angaben in den TypoScript-Templates von HTTP auf HTTPS umgestellt werden. Dies betrifft zum Beispiel Templates von JavaScript oder externen Ressourcen (Schriftarten, jQuery) sowie baseURL-Angaben. Die betroffenen Stellen kann man leicht im Quellcode (bspw. durch das Link-Tag oder ein SRC-Java-Script-Tag) finden und abändern. Im Anschluss sollten neu angelegte Unterseiten automatisch auf den verschlüsselten Standard weitergeleitet werden.

2.   Sicherstellen, dass alle Domains auf HTTPS verweisen

In diesem Schritt sollte zur Überprüfung der Cache-Speicher im Browser gelöscht und die Webseite im Anschluss aufgerufen werden. Wenn das HTTPS automatisch vorangestellt wird, auch ohne explizite Eingabe, hat die Umstellung funktioniert.

Hinweis: Ab TYPO3 v8 ist die Umstellung so nicht mehr möglich. Hier ist eine Konfiguration der .htaccess-Datei im Root-Verzeichnis notwendig. Diese muss um folgenden Code ergänzt werden:

RewriteCond %{Server_Port} !^443$
RewriteCond %{HTTP_HOST} ^www\.Beispiel\.de$ [NC]
RewriteRule ^(.*)$ https://www.Beispiel.de/$1 [R=301,L]

oder Sie erzwingen die HTTPS Umstellung mit:

RewriteEnginge On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

3.    Umstellung im TYPO3-Backend

Im Anschluss muss man die SSL-Umstellung im TYPO3 Backend erzwingen. Dies ist ein Schritt, der leider häufig vergessen wird, für eine vollständige und saubere Umstellung jedoch notwendig ist. Um auch das Backend umzustellen, muss einfach unter Einstellungen das Install-Tool aufgerufen werden (www.xyz.de/typo3/install). Die Umstellung erfolgt dann über All Configuration -> TYPO3_CONF_VARS -> [BE][lockSSL] = 2. Um sicher zu gehen, ist auch hier wieder eine Überprüfung empfehlenswert.

War die Umstellung insgesamt erfolgreich, sollte nun ein kleines grünes Schloss in der Browserleiste zu sehen sein. Ist dies nicht der Fall und erscheint stattdessen ein gelbes Warndreieck, liegt dies wahrscheinlich an einigen noch nicht verschlüsselten Ressourcen. In diesem Fall sollte man sich den Quelltext noch einmal genau anschauen und nach „http“ durchsuchen. Häufig wird die Umstellung bei Tracking-Software oder über Google eingebundenen Schriftarten in ausgelagerten CSS-Dateien vergessen. Es ist daher empfehlenswert, bei der Umstellung sauber und konzentriert zu arbeiten.

Zum Abschluss noch eine Checkliste, mit der Sie überprüfen können, ob Sie bei der Umstellung an alles gedacht haben:

  1. Alle externen Dateien auf https umstellen (CDN, Libs, Webfonts, jQuery, Google, Piwik usw.)
  2. Content/Text-Links prüfen
  3. HMDL/FLUID Templates überprüfen
  4. Bilder-Ausgaben oder andere Links prüfen
  5. Canonical Links prüfen
  6. hreflang Einträge für Websprachen
  7. Extensions und andere Plug-in überprüfen
  8. Wird das TYPO3 Backend auch via HTTPS aufgerufen
  9. htaccess oder via Hoster HTTPS Umleitung einstellen
  10. alte 301 Weiterleitungen überprüfen (z. B. in der htaccess Datei)
  11. Sitemaps XML Dateien/Ausgaben überprüfen
  12. Ggf. die Webseite in den Google Webmaster Tools / Bing Webmaster Tools neu hinzufügen und prüfen, ob dort alle Seiten mit HTTPS angezeigt werden
  13. In den Google Webmaster Tools / Bing Webmaster Tools die Sitemaps überprüfen und ggf. neu hinzufügen 

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor täuschend echten Phishing-E-Mails, über die die Schadsoftware Emotet...

Hunderttausende Passwörter von Nutzern der Chat-Plattform Knuddels waren im September unverschlüsselt im Netz aufgetaucht.

Hacker-Angriffe sind mittlerweile (leider) zum Alltag geworden. Den Hotelkonzern Marriott International hat es jetzt besonders schwer getroffen.

Google Chrome 70 ist erst einige Wochen alt, da steht auch schon die nächste Version Googles Webbrowser in den Startlöchern. Welche Änderungen Chrome...