SSL-Verschlüsselung für einzelne Seiten

[jaderbass]

Liebe Experten,

nach langem Suchen habe ich mich jetzt entschlossen Eure Hilfe in Anspruch zu nehmen. Folgende Situation:

Einer meiner Kunden hat ein SSL-Zertifikat (bei Thawte) gekauft und möchte einige Seiten seiner Website (Registrierung etc.) über eine Sichere Verbindung anbieten. Der Server ist eingerichtet und das Zertifikat funktioniert wenn die komplette Seite verschlüsselt ausgegeben wird.

Die komplette Seite zu verschlüsseln ist aber Quatsch. Außerdem wird es einige Kunden abschrecken eine Meldung über unsichere Inhalte zu bekommen, da auf den "normalen Seiten" auch Inhalte von Facebook und amazon über normales http eingebunden werden.

Momentan ist auf dem Server vom Provider eine .htacces Datei eingerichtet, die evtl. Eingaben ohne www. auf die korrekte URL umleitet:

<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG
    
        RewriteCond %{HTTP_HOST} !^www\.domain.tld$ [NC]
        RewriteRule ^(.*)$ http://www.domain.tld/$1 [R=301,L]

</IFModule>

Wenn ich nun die .htacces so umstelle:

<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG SSL
    
        RewriteCond %{HTTPS} off
        RewriteRule (.*) https://www.domain.tld/$1 [R=301,L]

</IFModule>

wird die komplette Seite auf https umgeleitet. Wie gesagt, die normalen Seiten quittieren dies mit einer Meldung, auf den "sicheren Seiten" ist alles o.k. Zumindest beim Firefox. Bei Chrome werden keine CSS-Dateien mehr geladen. Aber das Problem muss ich erst einmal hintan stellen.

Ich habe nun folgendes genutzt um nur bei den speziellen Seiten über SSL zu verschlüsseln:

<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG SSL EINZELNE SEITEN
    
    RewriteCond %{HTTPS} off
    RewriteCond %{REQUEST_FILENAME} regist.php [OR]
    RewriteCond %{REQUEST_FILENAME} meined.php [OR]
    RewriteCond %{REQUEST_FILENAME} meinev.php [OR]
    RewriteCond %{REQUEST_FILENAME} meinevd.php
    RewriteRule (.*)  https://www.domain.tld%{REQUEST_URI} [R=301,L]
    RewriteCond %{HTTPS} on  
    RewriteCond %{REQUEST_FILENAME} !regist.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meined.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meinev.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meinevd.php
    RewriteRule (.*)  http://www.domain.tld%{REQUEST_URI} [R=301,L]

</IFModule>

Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das. Die Seiten sind vom Quellcode aber nicht geändert worden. Auch eine Überprüfung des Quellcodes auf evtl. Links zu unsicheren Seiten erbrachte kein Ergebnis. Alle Links sind auch relativ gesetzt.

Habt Ihr eine Idee wo ich hier ansetzen muss?

Besten Dank
Jörg

 

[cythux]

AW: SSL-Verschlüsselung für einzelne Seiten

Bin leider kein Experte, in Sachen htaccess, jedoch kenne ich diesen code nur so für SSL mit den Port 443

# ------------------------------------------------------------------------------
# | Secure Sockets Layer (SSL)                                                 |
# ------------------------------------------------------------------------------

# Rewrite secure requests properly to prevent SSL certificate warnings, e.g.:
# prevent `https://www.example.com` when your certificate only allows
# `https://secure.example.com`.

# <IfModule mod_rewrite.c>
#    RewriteCond %{SERVER_PORT} !^443
#    RewriteRule ^ https://example-domain-please-change-me.com%{REQUEST_URI} [R=301,L]
# </IfModule>

# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

# Force client-side SSL redirection.

# If a user types "example.com" in his browser, the above rule will redirect him
# to the secure version of the site. That still leaves a window of opportunity
# (the initial HTTP connection) for an attacker to downgrade or redirect the
# request. The following header ensures that browser will ONLY connect to your
# server via HTTPS, regardless of what the users type in the address bar.
# http://www.html5rocks.com/en/tutorials/security/transport-layer-security/

# <IfModule mod_headers.c>
#    Header set Strict-Transport-Security max-age=16070400;
# </IfModule>

 

[jaderbass]

AW: SSL-Verschlüsselung für einzelne Seiten

Hallo cythux,

Danke für Deinen Hinweis. Ich denke aber dass

RewriteCond %{SERVER_PORT} !^443

das gleiche ist wie

%{HTTPS} off

da SSL-Verschlüsselung auf Port 443 kommuniziert.

Eine neue komische Sache ist jetzt aufgetreten: Die momentane Einstellung der Seite ist: Alles auf SSL. Bei Firefox werden die sicheren Seiten auch als sicher angezeigt (Schloss-Symbol in der Adressleiste) bei Chrome werden die Seiten aber mit gelbem Schloss (also wie alle anderen auch) also mit unsicheren Inhalten angezeigt. Ich raff's nicht mehr.

Jörg

 

[cythux]

AW: SSL-Verschlüsselung für einzelne Seiten

Dann hoffe ich das du hier noch jemanden findest. Des eventuell auch mit Thawte auskennt.

Ich nutze selber chrome v27.14xx und chromium, dort wird wenn ich FB/Twitter auf HTTPS jedoch als grünes schloss angezeigt.

Mein Code stammt von hier, den ich bisher auch des öfteren benutzt habe

 

[Duddle]

AW: SSL-Verschlüsselung für einzelne Seiten

Was meinst du mit

Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das

?
Wenn du regist.php aufrufst, willst du zu https://.../regist.php. In regist.php gibt es dann ein Bild mit <img src="img/foo.jpg" />. Dieses soll über http kommen, kommt im Moment aber über https? Wie genau überwachst/merkst du das?


Duddle

 

[jaderbass]

AW: SSL-Verschlüsselung für einzelne Seiten

Was meinst du mit ?

Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das

Ich meine damit folgendes: Wenn ich die Seite aufrufe mit kommt die Seite über http:. Klicke ich dann auf den Link zur regist.php wird diese über https: geschickt. Auf dieser Seite befinden sich keine Inhalte die über http kommen, da ich für Bilder relative src-Attribute verwende.

In der Adresszeile des Browsers steht aber das Symbol für nur teilweise sichere Verbindungen.

Ich hoffe ich konnte mich verständlich ausdrücken.

Jörg

 

[Duddle]

AW: SSL-Verschlüsselung für einzelne Seiten

Auf dieser Seite befinden sich keine Inhalte die über http kommen, da ich für Bilder relative src-Attribute verwende.

Aber laut deiner .htaccess werden alle Anfragen, die nicht auf die vier .php-Dateien gehen wieder auf http umgebogen. Das würde

das Symbol für nur teilweise sichere Verbindungen

erklären (obwohl ich nicht 100%ig weiß, was der Browser damit exakt meint). Daher fragte ich, woher du weißt was mit welchem Protokoll übertragen wird.


Duddle

 

[lachender_engel]

AW: SSL-Verschlüsselung für einzelne Seiten

Bevor wir uns hier im Dunkeln tappen ist es besser Du gibst uns den Link zur Seite, damit wir uns das direkt anschauen können.