Drupal hosting z SSL

HTTPS to protokół, który szyfruje żądań HTTP i ich reakcje. Gwarantuje to, że jeśli ktoś był w stanie zagrozić sieci między komputerem a serwerem którą wnioskujesz z, nie byłby w stanie podsłuchiwać lub manipulować komunikacji.

Gdy użytkownik odwiedza witrynę za pośrednictwem protokołu HTTPS, URL wygląda następująco: https://drupal.org/user/login. Gdy użytkownik odwiedza witrynę za pomocą zwykłego (niezaszyfrowanego) HTTP, wygląda to tak: drupal.org/user/login.

hosting

Dlaczego jest to ważne dla ciebie (i kiedy)

HTTPS jest zwykle używany w sytuacjach, gdy użytkownik wyśle ​​poufnych informacji na stronie internetowej i przechwycenia tej informacji byłoby problemu. Zwykle informacja ta obejmuje:

  • Karty kredytowe
  • Wrażliwych, takich jak ciastka ciasteczka sesji PHP
  • Hasła i Nazwy użytkowników
  • Informacje umożliwiające identyfikację (numer ubezpieczenia społecznego, numery ID państwa, itp)
  • zawartość poufne

Szczególnie w sytuacjach, w których, jako administrator, wysyłanych hasła Drupal lub hasło dla serwera FTP, należy użyć protokołu HTTPS gdy jest to możliwe, aby zmniejszyć ryzyko narażania swojej stronie internetowej.

HTTPS może również zapobiec podsłuchiwaczowi uzyskanie swoją uwierzytelnionego klucza sesyjnego, który jest wysyłany plik cookie z przeglądarki z każdego żądania do serwisu, a wykorzystanie go do podszywania się pod Ciebie. Na przykład, osoba atakująca może uzyskać dostęp administracyjny do witryny, jeśli jesteś administratorem dostępu do witryny za pośrednictwem protokołu HTTP zamiast HTTPS. Jest to znane jako przechwycenia sesji i może być realizowane za pomocą narzędzi takich jak Firesheep.

Bezpieczeństwo jest równowaga. Obsługujących HTTPS koszty ruchu więcej zasobów niż żądań HTTP (zarówno za pomocą przeglądarki internetowej i serwera) i dlatego was mogą chcieć wykorzystać mieszane HTTP / HTTPS, gdzie właściciel witryny może zdecydować, które strony lub użytkownicy powinni stosować HTTPS.

Jak włączyć obsługę HTTPS w Drupal

  1. Zdobądź certyfikat. Wielu dostawców hostingu je skonfigurować dla Ciebie - automatycznie lub za opłatą. Można również użyć Powiedzmy Szyfrowanie który jest wolny, zautomatyzowane i otwórz Certificate Authority. Jeśli chcesz zabezpieczyć stronę testową, można zamiast wygenerować certyfikat z podpisem własnym.
  2. Skonfigurować serwer WWW. Kilka przydatnych linków:
    • instrukcje Apache.
    • instrukcje nginx
    • instrukcja Ubuntu

    Szanse są, serwer WWW może zrobić dla Ciebie, jeśli używasz lub wspólne hosting zarządzany.

    Uwaga: Czyste URL Jeśli używasz Apache HTTP i HTTPS:

    Prawdopodobnie będziesz mieć dwa różne wiadra VirtualHost.

    1. Wiadro do portu: 80 http
    2. Wiadro do portu: 443 https

    Każda z tych pojemników virtualhost lub wiadra wymagają konkretne dyrektywy Apache być dodawane w nich jeśli używasz Clean adresy URL. To dlatego, że Drupal szeroko wykorzystują .htaccess i mod_rewrite aby zapewnić przyjazne adresy URL.

    Drupal hosting z witryny ssl poprzez HTTP raczej

    Sprawdź, czy masz następujące w ramach dyrektywy, jakim jest dziecko w kontenerze VirtualHost dokumenty: Apache dla AllowOverride

    Oznacza to, że .htaccess ma pierwszeństwo i że konfiguracja Apache pozwoli go uruchomić jak można oczekiwać dla Drupal.

    Rozwiązywanie problemów:
    Jeśli włączone HTTPS i działa tylko na stronie głównej i linki podrzędne są podzielone, to dlatego, że VirtualHost: wiadro 443 potrzebuje AllowOverride Wszystko włączone, więc adresy URL mogą być zapisane w trybie HTTPS.

    Na Drupal 7, jeśli chcesz obsługiwać w trybie mieszanym oraz sesji HTTP HTTPS, otwórz sites / default / settings.php i dodać $ conf [ 'https'] = true ;. Dzięki temu można użyć tej samej sesji nad HTTP i HTTPS - ale z dwoma ciasteczek gdzie plik cookie jest przesyłane przez HTTPS HTTPS tylko. Trzeba będzie użyć przyczyniły moduły jak securepages zrobić coś pożytecznego z tego trybu, jak złożenie formularzy za pośrednictwem protokołu HTTPS. Podczas swojej HTTP Cookie jest nadal podatny na wszystkich zwykłych ataków. Porwany niepewny session cookies mogą być wykorzystywane wyłącznie w celu uzyskania uwierzytelnionego dostępu do witryny HTTP, a to nie będzie ważne na stronie HTTPS. Czy jest to problem, czy nie, zależy od potrzeb Twojej strony i różnych konfiguracji modułu. Na przykład, jeśli wszystkie formy są ustawione, aby przejść przez HTTPS i odwiedzający mogą zobaczyć te same informacje jak zalogowanych użytkowników, to nie jest problem.

    Zauważ, że w Drupal 8, wsparcie trybu mieszanego zostało usunięte # 2342593: Usuń mieszany obsługę SSL od rdzenia.

    Dla jeszcze lepszego zabezpieczenia, wyślij wszystkich uwierzytelnionych ruchu poprzez HTTPS i używać protokołu HTTP do sesji anonimowych. Na Drupal 8, zainstalować moduł bezpiecznego logowania, która rozwiązuje ostrzeżenia mieszane treści. Na Drupal 7, zostawić $ conf [ „https”] na wartość domyślną (fałsz) i zainstalować bezpieczne logowanie. Drupal 7 i 8 automatycznie włączyć konfigurację session.cookie_secure PHP na stronach HTTPS, który powoduje SSL tylko bezpieczne sesyjne, które zostaną wyemitowane w przeglądarce. Na Drupal 6, zobacz przyczyniły moduły 443 sesji i bezpieczne logowanie.

    Dla możliwie najlepszej ochrony, skonfigurować swoją witrynę do korzystania tylko HTTPS i reagowania na wszystkie żądania HTTP z przekierowanie do witryny HTTPS. Drupal 7 za $ conf [ 'https'] można pozostawić wartość domyślną (false) na terenach czystych-HTTPS. Nawet wtedy, HTTPS jest podatny na ataki typu man-in-the-middle, czy połączenie zaczyna się jako połączenie HTTP przed przekierowywane do protokołu HTTPS. Użyj modułu TGV lub moduł Kit Zabezpieczenia. lub ustawić Strict-Transport-Zabezpieczenia nagłówek w serwer i dodać swoją domenę do TGV listy napięcia wstępnego przeglądarki. pomóc uniemożliwić użytkownikom dostęp do witryny bez HTTPS.

    może chcesz przekierować cały ruch z example.com i www.example.com do https://example.com. Można to zrobić dodając poniższy kod do pliku konfiguracyjnego serwera, czyli definicji VirtualHost:

    Zastosowanie RewriteRule byłoby właściwe, jeśli nie masz dostępu do głównego pliku konfiguracyjnego serwera i są zobowiązani do wykonania tego zadania w pliku .htaccess w zamian:

    Są istniejące komentarze w .htaccess, które wyjaśniają, w jaki sposób przekierować example.com do www.example.com (i odwrotnie), ale ten kod tutaj przekierowuje zarówno tych do https://example.com.

    bjdeliduka skomentował 27 lutego 2015 o 21:25

    Jako podmiot mówi. radościach.

    Mój klient ma wielu klientów z Drupal 7 miejsc. Posuwamy się wszyscy za CloudFlare (www.cloudflare.com) my Oferują one bezpłatny certyfikatów SSL, buforowanie sieci Web i ochrona DDoS / łagodzących. Następnie Firewall serwery akceptować tylko połączenia z CF Podręcznej i upewnić się, że rzeczywisty serwer HTTP nie jest wymieniony w DNS (klient / przeglądarek powinny łączyć się z serwerami CF, która następnie pobierają strony z rzeczywistego serwera). Drupal Server (Apache 2.4 na CentOS) również używać SSL do szyfrowania połączenia pomiędzy CF i serwera (równie dobrze może utrzymać wszystko na zwykły tekst)

    Choć powyższe wygląda i czuje się jak doskonałe rozwiązanie do ubezpieczenia wszystkie połączenia są szyfrowane napotkaliśmy problem z niektórych stron, które mają IFRAMES ładowanych zaszyfrowanej treści. (Przeglądarek internetowych wygeneruje błąd kiedy to nastąpi i często odmawiają załadować zawartość bez interwencji użytkownika).

    Opcje zawarte 1) ustanowienie pełnomocnictwa i zaszyfrowanie niezabezpieczoną treść. O ile jest to technicznie możliwe, że daje użytkownikowi wrażenie, sesja jest bezpieczna podczas niektórych treści jest w postaci zwykłego tekstu (choć nie do / od klienta). 2) spadek zawartości aż będzie dostępny za pośrednictwem bezpiecznego połączenia (klient / klient nie lubił tej opcji) 3) strony sił, które zawierają tę zawartość być niekodowane (HTTP) połączenia, podczas gdy reszta strony jest szyfrowana.

    Wybraliśmy opcję 3.

    Strony zostały wcześniej skonfigurowane tak, aby przekierowywać połączenia https stosując regułę przepisywania w pliku .htaccess (prawdopodobnie przesunie je w plikach konfiguracyjnych vhost ze względu na wydajność, ale tylko wtedy, gdy możemy zgodzić się na wyłączenie plików .htaccess) Jak każdy taki http połączenie staje się połączenie https.

    Zwykle RewriteRule mogą być tworzone w formie:

    złapać połączenia do strony z niepewnego iframe. (Przepisz dopasowanie do http i nie pasujące do https)

    spróbuj tego z czystym URL włączona i nigdy nie dostać się na stronę niezaszyfrowane ponieważ każde żądanie strony przedłożony Drupal robi ostatniego przejścia przez silnik przepisywania na /index.php.

    Jestem pewny dokładnej przyczyny ale secure_pages nie zostały uznane za realną opcją.

    Rozwiązanie Rezultatem jest seria 13 RewriteRule linii / RewriteCond, które mogą skutecznie zastąpić moduł secure_pages za zmuszanie wszystkich, ale kilka wybranych (1 lub więcej) strony do połączeń HTTPS.

    / Na żywo-Page i strona korzeń stronie są HTTP reszta strony HTTPS. Dodatkowe strony mogą być wyłączone z HTTPS dodając dodatkowe sympatie pod linią / Streaming-strony po to Format.

    Jedynym znanym strona wpłynąć tego kodu jest to, że edytowanie niekodowane stron jest bardziej skomplikowane, jak spada admin_menu na nieszyfrowanych stronach. Wersja 1.1 będzie zawierać metodę wyłączenie strony http z przeglądarki posiłki (w wyniku błędów w przeglądarce, że deweloperzy będą zajmować się w miarę potrzeby podczas edycji strony) Ja też spojrzeć e bardziej szczegółowe instrukcje na umieszczenie tego w .htaccess pliki i usuwanie niechcianych / kod na niepotrzebne rzeczy, jak www. stripping (lub pre-pending) etc

    selinav skomentował 25 kwietnia 2017 o 09:51

    Bairnsfather skomentował 26 kwietnia 2017 o 17:29

    Byłem bardzo zadowolony z https://www.drupal.org/project/securepages przez długi czas. Wystarczy załadować stronę konfiguracji i umieścić gwiazdkę w dziedzinie, dla których strona ma zostać zabezpieczone, to znaczy wszystko. Myślę, że ostrzeżenie na górze strony projektu jest przestarzały; Użyłem modułu bez poprawek lub modyfikacji mojego .htaccess w ciągu ostatnich kilku wersjach 7.x. Sprawdź swoją settings.php i upewnij się, że zmienna base_url zawiera https, a nie http.

    [Edit] Ale proszę nie brać tego jako ostatniego słowa na aktualnie najlepszą metodą, aby przekierować cały ruch do https tych dni. Na podstawie ostatniego czytania, wydaje TGV, gdzie rzeczy są na czele.

    Bairnsfather skomentował 9 maja 2017 o godzinie 17:30

    Oto co zrobiłem, że wydaje się działać dla D7 D8 (szczególnie od 7,54 8.3.1 Apache'u 2.4.5 PHP 5.6.30) za pomocą pliku stock .htaccess tylko z modyfikacjami jak opisano poniżej. W prostych słowach, Strict-Transport-Security linia nie będzie początkowo przekierować ruch z http na https. (Ta linia nie jest widoczne na żądań HTTP i starsze przeglądarki nie rozumiem). Stąd zainteresowanie przekierowania z RewriteRule; jednak, że pozostawia otwartą możliwość ataku MiTM. Ale jest nadzieja, ze DNSSEC i nowoczesnej przeglądarki, która rozumie TGV, w mniej niż sekundę przeglądarka zapamięta (dla sekund max-age) tylko do zasobów żądań HTTPS, nawet jeśli witryna lub inna strona ma link http / zasób to. Innymi słowy po zapłaceniu nowoczesna przeglądarka ładuje strony przez HTTPS ze swojej strony, przeglądarka dowiaduje powinny być surowe i tylko zrobić HTTPS, nawet jeśli napotka zasób lub łącze określającą http.

    Po pierwsze, upewnij się, że serwer dostępne poprzez https i certyfikat obejmuje wszystkie subdomeny używać. Max-age jest w sekundach, dostosować go do swoich potrzeb, i należy przeczytać (co najmniej) https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security (RFC linku poniżej).

    Poniżej linii:

    Następnie umieścić znak # przed trzema liniami poniżej, aby skomentować je; to już nie dotyczy, ponieważ po prostu zmuszony cały ruch HTTPS. Następujące linie są już w pliku .htaccess i tuż poniżej tego, co wklejone.

    Również zwrócić uwagę na https://www.drupal.org/project/hsts modułu TGV posiada wersje dla D7 D8. Co jest dobre, jeśli uruchomić wielomiejscowe i nie wszystkie domeny mają certyfikat.

    Można przetestować rzeczy, otwierając aplikację terminala i zwijają -I swoją domenę na różne sposoby, aby skontrolować nagłówek.

    Obejrzyj ten film!

    Powiązane artykuły

    7 41 drupal hosting23.07.2013 13:22 EST Dzięki za pytanie! Tak, można korzystać z udostępnionego certyfikat SSL. Certyfikat SSL jest współdzielony fabrycznie, więc nie ma konfiguracja odbywa się po stronie serwera. Proszę...
    Intro strona html wordpress hostingW WordPress, można umieścić treść na swojej stronie albo jako „post” lub „Strona”. Kiedy piszesz regularny wpis w blogu, napisać post. Słupy, w konfiguracji domyślnej, pojawiają się w odwrotnej kolejności ...
    Obliczach poszukiwanie apache solr hosting DrupalUwaga: wyjątkowy dzięki Doug Vann za dostarczanie motywację, by w końcu opublikować ten wpis na blogu! Na początku 2016 roku, kiedy to Search API i Solr związane moduły dla Drupala 8 było na początku alfa ...
    Pole narzędzia hosting DrupalWprowadzenie Implementacja skutecznego wyszukiwania jest jednym z najtrudniejszych zadań w rozwoju, ale jest to również klucz do sukcesu wielu stron internetowych i aplikacji. Szybkie wyszukiwanie i ...
    Webfm moduł Drupal hostingTworzę archiwum internetową, która pozwoli użytkownikom na przesyłanie wielu różnych typów treści multimedialnych, w tym wideo, audio, zdjęć, dokumentów i tekstów. Chcę, aby ułatwić użytkownikom ...