Seite komplett auf https, aber in Piwik trotzdem fast alles auf http, auch im Demo Piwik

Hallo,

ich habe meinen Webshop komplett auf SSL umgestellt und er funktioniert auch einwandfrei, alle Seiten werden mit https dargestellt. Piwik trackt auch alle Besucher. Nur ist mir folgendes Phänomen aufgefallen:

-in Piwik unter “detailiertes Besucher Logs anzeigen” werden alle URLs jedoch mit “http” dargestellt obwohl die Seite alle in https sind. Nur die Downloads bzw. wenn jemand auf ein Bild klickt um die größere Version des Bildes zu sehen , wird diese Bild-URL mit https angezeigt.

nun dachte ich, das liegt an meiner Konfiguration. Ich habe in der Piwik config.ini unter der Zeile [General] die Zeile “force_ssl = 1” hinzugefügt, aber leider ohne Erfolg. Ich hatte das auch versucht mit der global.ini, aber ebenfalls kein Erfolg.

Wenn man sich aber bei Piwik die Demo anschaut: http://demo.piwik.org/ tritt dort das selbe Phänomen auf. Dort wird z.B. das Piwik-Forum (https://forum.matomo.org/) getrackt. Wenn jemand im Forum surft, steht in der Demo die URL auch nicht als https, sondern mit http obwohl das Piwik Forum komplett auf SSL ist. Solange der User nur in den Kategorien surft, stehen bei der Piwik-Demo die URLs immer ohne https. Geht der User aber in einem Thread rein, dann ist die URL des Threads mit https.

Ist das jetzt ein Bug von Piwik? Oder hat jemand eine Idee wie man das sauber angezeigt bekommt (alles auf https)?

Grüße
Peter

Hi

ich würde behaupten, dass das tatsächlich so stimmt, wie Piwik es anzeigt.

Nur weil deine Seite SSL kann, heißt das noch lange nicht, dass es auch jeder Benutzer nutzt. Ursache für Aufrufe ohne SSL sind i.d.R. alte externe links, die noch http:// verwenden oder ganz schlicht, wenn der Nutzer http:// in die Adresszeile eingibt (was erschreckend viele machen).

“force_ssl = 1” bedeutet nur, dass die Piwik-Oberfläche selbst SSL erzwingt. Auf deinen Webshop hat diese Einstellung keine Auswirkung.

Um bei deinem Webshop SSL zu erzwingen, gibt es mehrere Möglichkeiten.
a) Ich würde generell dem Webserver (Apache/Nginx/IIS/Lightttp/…) sagen, dass er immer den Strict Transport Security-Header setzen soll.
b) Evtl. hat dein Webshop irgend wo eine “SSL-Erzwingen”-Option, die du aktivieren kannst. Sollte er eigentlich. (analog “force_ssl = 1” bei Piwik)
c) Der Holzhammer: Weise deinen Webserver per (RewriteRule o.ä.) an, alle Anfragen an port 80 (http) auf port 443 (https) um zu leiten

Wie das genau funktioniert musst du bei der jeweiligen Software bzw. dem Webserver in Erfahrung bringen. Achte bei der Umleitung aber unbedingt darauf, dass die komplette Url inkl. aller Parameter umgeleitet wird. Viele machen den Fehler http ://meintollerladen.de/tolles/produkt?pk_campaign=Email&gclid=1234abcd auf http ://meintollerladen.de/tolles/produkt oder gar http ://meintollerladen.de/ um zu leiten.