ARD | Tagesschau: Einmal mit (HTTPS-)Profis arbeiten
Besucht mal die Webseite der ARD über HTTPS:
https://www.ard.de
So und jetzt klickt mal auf einen Beitrag unter »Nachrichten«. Ihr landet dann auf der Webseite der Tagesschau. Was fällt dabei auf? Na? Richtig: Ihr landet auf der unverschlüsselten Variante des Artikels.
Und jetzt besucht mal die Webseite der Tagesschau über unverschlüsseltes HTTP:
http://www.tagesschau.de
Was passiert? Es wird eine Zwangsumleitung zur HTTPS-Variante vorgenommen. Klickt man anschließend auf einen Beitrag, dann werden diese über HTTPS ausgeliefert. Wo liegt nun der Fehler? An mehreren Stellen:
- Die Webseite der ARD ist über HTTP und HTTPS erreichbar. Eine Umleitung zu HTTPS wird allerdings nicht erzwungen, sondern ist rein optional.
- Die Startseite der Tagesschau erzwingt eine Umleitung zur HTTPS-Variante. Anschließend lassen sich alle weiteren Beiträge über HTTPS abrufen. Unterseiten wie Beiträge unterliegen allerdings keiner Zwangsumleitung und sind daher auch über das unverschlüsselte HTTP erreichbar:
http://www.tagesschau.de/ausland/ https://www.tagesschau.de/ausland/
Da hat man schon gültige TLS-Zertifikate und nutzt sie dann nicht richtig…