Forza il sito integer https senza redirect http a https

C'erano molte discussioni mentre stavo cercando come fare il mio sito https. Le risposte più consistenti erano di redirect http a https (file .htaccess), che non è buono, perché non è bene fare lo stesso lavoro due volte (due richieste). Inoltre, l'uomo in mezzo prende innanzitutto http e voglio che il mio sito va direttamente su https. C'è un altro modo per rendere https tutto il tuo sito e come farlo? Ad esempio, quando gli utenti digitano in example.com, che example.com va automaticamente a https senza redirect da http o altro in primo luogo?

  • C'è un server SSTP (Secure Socket Tunneling Protocol) disponibile per Linux?
  • SSL Cert Vendors
  • lento server apache SSL
  • HTTPS vs HTTP Apache confronto delle performance delle applicazioni web (per un principiante)
  • _default_ VirtualHost si sovrappone alla port 443, la prima ha la precedenza
  • Registrazione del traffico HTTPS tramite un proxy
  • Come forzare SSL (https) in Apache Location
  • come progettare libbra -> vernice -> jboss per ha + loadbalancing
  • 5 Solutions collect form web for “Forza il sito integer https senza redirect http a https”

    No. Non puoi magicamente fare il browser del visitatore scegliere il protocollo giusto. Un reindirizzamento è il modo per farlo.

    http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security consente al server di indicare che il dominio deve essere raggiunto solo tramite HTTPS. Ciò è valido solo per le richieste successive, quindi ci sarà un primo carico HTTP, ma le richieste future caricheranno HTTPS anche se qualcuno ha digitato esplicitamente HTTP.

    IE non lo support ancora, ma tutti gli altri grandi fanno.

    Come altri hanno detto, non è ansible costringere gli utenti a scegliere il protocollo giusto. Ma quando l'utente cerca di utilizzare HTTP, cosa dovresti fare? Un reindirizzamento è anche insufficiente, perché un aggressore che siede tra voi e il cliente può intercettare il reindirizzamento, quindi il client non lo vede mai. Il client continuerà a submit un semplice HTTP e l'attaccante estrae via il livello SSL dal server ( attacco SSI ).

    L'unico modo sicuro per impedire che non è di servire HTTP a tutti . Non rispondere alla port 80, ad exception di forse per servire una pagina di text normale che indirizza l'utente a provare nuovamente con HTTPS (ma non fornendo un collegamento che l'attaccante potrebbe manipolare). Ciò obbligherà l'utente a digitare https:// nel proprio browser, in modo da avviare la connessione con SSL e impedire l'attacco MITM.

    Non è del tutto vero: come utilizzare DNS / Hostnames o Altri modi per risolvere un IP specifico: Porta

    C'è un modo, ma la maggior parte dei browser non implementa rfc2782.

    ceejayoz ha la risposta migliore per impedire l'attacco specificamente citato qui, ma voglio anche sottolineare ciò che molte persone qui sono mancanti che è fondamentalmente che HTTP ha già l'altra parte capito già. Vuoi fare un reindirizzamento permanente 301. Ciò indica al cliente di fare ulteriori richieste al nuovo indirizzo. Quindi, sì, se qualcuno digita l'URL errato, faranno 2 richieste ma in futuro, un buon cliente dovrebbe rilevare le richieste a tale URL e fare invece la richiesta corretta per evitare tutte le richieste più sprecate. Il problema è che questo è solo per quel URL esatto. HSTS migliora su questo schema anche dicendo: 'per i secondi secondi non consentono anche nessuna connessione non protetta da questo dominio'.

    Gli utenti non dovrebbero visitare siti sensibili in luoghi non sicuri. In particolare non dovrebbero registrarsi in luoghi insicuri. Questi sono i principi fondamentali di protezione degli utenti che dovrebbero essere insegnati proprio come, 'non aprire allegati da fonti non attendibili'. Che sono veramente la risposta migliore per impedire attacchi MiM per siti che non sono mai stati visitati.

    Come nota laterale, alcuni browser migliorano anche su questo fatto dicendo che alcuni siti conosciuti usano sempre HSTS. Purtroppo, non puoi semplicemente aggiungere a questa list facilmente.

    Ulteriori informazioni: http://coderrr.wordpress.com/2010/12/27/canonical-redirect-pitfalls-with-http-strict-transport-security-and-some-solutions/

    http://dev.chromium.org/sts

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.