So geht’s: Sicheres Durchstöbern (https) für Facebook-Fanpages gewährleisten

facebook-https-ssl

Wie lange im Voraus angekündigt, hat Facebook Anfang Oktober die Unterstützung für nicht-gesicherte Anwendungen und Fanpage-Tabs beendet. Da ich seither viele Anfragen zu diesem Thema erhalten habe, möchte ich mit diesem Beitrag gerne erklären wie ihr gewährleistet, dass eure Fanpage-Tabs "sicher durchstöbert" werden können.
Ich gehe in diesem Artikel auf die Neuerungen in Bezug auf die HTTPS-Verbindung ein und möchte nicht von Grund auf die Einrichtung von Fanpage-Tabs (iframe-Tabs) erklären. Wie das funktioniert könnt ihr hier nachlesen.

Trainings für Unternehmen und Privatpersonen

Wir machen dich fit für die Zukunft des Web! In unseren Seminaren und Workshops lernst du wie moderne Websites entstehen.

Infos zu Inhouse-Seminaren
Infos zu öffentlichen Terminen

Warum HTTPS?

Individuelle iframe-Tab-Inhalte werden auf dem eigenen Webspace gespeichert und nur über einen iframe in Facebook hineingeladen. Die Inhalte liegen also bei euch und nicht bei Facebook und genau hier besteht eine mögliche Sicherheitslücke.
Facebook erlaubt daher nur noch iframe-Tab Inhalte die über "sicheres durchstöbern" (HTTPS) verfügen. Ist das nicht der Fall, sieht der Besucher anstelle des Fanpage-Tabs folgenden Inhalt.

sicheres-durchstoebern-facebook

Eingeloggte Admins sehen übrigens häufig weiße Seiten anstelle der Fehlermeldung. Ihr solltet eure eigene Fanpage daher mit einem eingeloggten, fremden Account besuchen.

Was benötigt ihr um sichere Tabs zu erhalten?

Eine HTTPS-Verbindung erreicht ihr indem ihr einen bestimmten Bereich auf eurem Server (einen Ordner, eine Domain, eine Subdomain oder gemieteten Webspace) mit einem Sicherheitszertifikat (SSL-Zertifikat) ausstattet. Ein solches Zertifikat müsst ihr bei eurem Provider kaufen.
Es existieren Zertifikate verschiedener Sicherheitsstufen die teilweise auch Versicherungen beinhalten. Für Facebook reicht aber ein simples Zertifikat.
Je nachdem welches Zertifikat ihr erworben habt, wird mehr oder weniger umfangreich geprüft ob ihr und eure Seite den Anforderungen genügen. Anschließend wird das Zertifikat ausgestellt und muss installiert werden. Wie das jeweils funktioniert erfahrt ihr von eurem Provider.

iframe-Tab anpassen

Öffnet die App-Einstellungen von Facebook unter https://developers.facebook.com/apps und bearbeitet die entsprechende Anwendung. Ihr solltet nun einen Screen sehen der folgende Inhalte bietet. Facebook ändert diesen Bereich sehr häufig - es kann daher sein, dass der Bereich bald wieder etwas anders aussieht.

facebook-ssl-kulturbanause-https

Die rot unterstrichenen Bereiche sollten bei euch noch unausgefüllt sein. Gebt hier die jeweiligen Pfade (inkl. https://) eurer sicheren Inhalte an. Anschließend speichert ihr die App. Das war es auch schon.

Unsichere Inhalte innerhalb von sicheren Bereichen vermeiden

Ihr könnt innerhalb der App-Einstellungen entscheiden, ob ihr die identischen Inhalte (z.B. eine index.php) sowohl die die normale (http) als auch für die gesicherte (https) Verbindung nutzen wollt, oder ob ihr unterschiedliche Varianten zur Verfügung stellt. Der Screenshot oben zeigt z.B. eine Variante wo jeweils auf die identischen Dateien verlinkt wird.
Wichtig ist, dass nicht nur der Ordner in dem ihr eure Inhalte abgelegt habt gesichert ist, sondern dass auch Verlinkungen die aus diesem Bereich herausführen über eine sichere Verbindung verfügen. Ansonsten wird im Browser ein Warnung angezeigt. Mehr zu diesen Warnungen findet ihr u.a. hier. Facebook ignoriert diese Warnung allerdings (noch).