HTTPS und Google Fonts

Wer seine Seite mit HTTPS verschlüsselt und weitere Dateien einbindet, wie z.B. Google Fonts erhält eine Fehlermeldung:

Laden von gemischten aktiven Inhalten “http://fonts.googleapis.com/css?family=Oswald” wurde blockiert.[Weitere Informationen]

https://developer.mozilla.org/de/docs/Sicherheit/MixedContent

Dazu sagt Mozilla:

Wenn die HTTPS- Seite Inhalte enthält, die über reguläres HTTP im Klartext abgerufen werden, ist die Verbindung nur teilweise verschlüsselt: Der unverschlüsselte Inhalt ist zugänglich für Sniffer und kann durch Man-in-the-Middle-Angriffe verändert werden, weshalb die Verbindung nicht mehr geschützt ist. Eine Website, die dieses Verhalten aufweist, wird als Mixed Content-Seite bezeichnet.

Lösung

Um den Fehler zu beseitigen müssen alle Verbindungen auf HTTPS umgestellt werden. Am einfachsten ist dies möglich indem man eine “schema agnostic URL” benutzt, d.h. wir definieren beim Einbinden der Google API keine konkretes Protokoll und der Browser wählt automatisch HTPPS wenn die Seite mit HTTPS bereits ausgeführt wird.

http://fonts.google... wird zu //fonts.google...