Antworten auf deine Fragen:
Neues Thema erstellen

SSL-Verschlüsselung für einzelne Seiten

jaderbass

Noch nicht viel geschrieben

Liebe Experten,

nach langem Suchen habe ich mich jetzt entschlossen Eure Hilfe in Anspruch zu nehmen. Folgende Situation:

Einer meiner Kunden hat ein SSL-Zertifikat (bei Thawte) gekauft und möchte einige Seiten seiner Website (Registrierung etc.) über eine Sichere Verbindung anbieten. Der Server ist eingerichtet und das Zertifikat funktioniert wenn die komplette Seite verschlüsselt ausgegeben wird.

Die komplette Seite zu verschlüsseln ist aber Quatsch. Außerdem wird es einige Kunden abschrecken eine Meldung über unsichere Inhalte zu bekommen, da auf den "normalen Seiten" auch Inhalte von Facebook und amazon über normales http eingebunden werden.

Momentan ist auf dem Server vom Provider eine .htacces Datei eingerichtet, die evtl. Eingaben ohne www. auf die korrekte URL umleitet:
Code:
<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG
    
        RewriteCond %{HTTP_HOST} !^www\.domain.tld$ [NC]
        RewriteRule ^(.*)$ http://www.domain.tld/$1 [R=301,L]

</IFModule>
Wenn ich nun die .htacces so umstelle:
Code:
<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG SSL
    
        RewriteCond %{HTTPS} off
        RewriteRule (.*) https://www.domain.tld/$1 [R=301,L]

</IFModule>
wird die komplette Seite auf https umgeleitet. Wie gesagt, die normalen Seiten quittieren dies mit einer Meldung, auf den "sicheren Seiten" ist alles o.k. Zumindest beim Firefox. Bei Chrome werden keine CSS-Dateien mehr geladen. Aber das Problem muss ich erst einmal hintan stellen.

Ich habe nun folgendes genutzt um nur bei den speziellen Seiten über SSL zu verschlüsseln:

Code:
<IfModule mod_rewrite.c>

RewriteEngine On

# HOSTUMLEITUNG SSL EINZELNE SEITEN
    
    RewriteCond %{HTTPS} off
    RewriteCond %{REQUEST_FILENAME} regist.php [OR]
    RewriteCond %{REQUEST_FILENAME} meined.php [OR]
    RewriteCond %{REQUEST_FILENAME} meinev.php [OR]
    RewriteCond %{REQUEST_FILENAME} meinevd.php
    RewriteRule (.*)  https://www.domain.tld%{REQUEST_URI} [R=301,L]
    RewriteCond %{HTTPS} on  
    RewriteCond %{REQUEST_FILENAME} !regist.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meined.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meinev.php [OR]
    RewriteCond %{REQUEST_FILENAME} !meinevd.php
    RewriteRule (.*)  http://www.domain.tld%{REQUEST_URI} [R=301,L]

</IFModule>
Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das. Die Seiten sind vom Quellcode aber nicht geändert worden. Auch eine Überprüfung des Quellcodes auf evtl. Links zu unsicheren Seiten erbrachte kein Ergebnis. Alle Links sind auch relativ gesetzt.

Habt Ihr eine Idee wo ich hier ansetzen muss?

Besten Dank
Jörg
 

cythux

Aktives Mitglied

AW: SSL-Verschlüsselung für einzelne Seiten

Bin leider kein Experte, in Sachen htaccess, jedoch kenne ich diesen code nur so für SSL mit den Port 443

Code:
# ------------------------------------------------------------------------------
# | Secure Sockets Layer (SSL)                                                 |
# ------------------------------------------------------------------------------

# Rewrite secure requests properly to prevent SSL certificate warnings, e.g.:
# prevent `https://www.example.com` when your certificate only allows
# `https://secure.example.com`.

# <IfModule mod_rewrite.c>
#    RewriteCond %{SERVER_PORT} !^443
#    RewriteRule ^ https://example-domain-please-change-me.com%{REQUEST_URI} [R=301,L]
# </IfModule>

# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

# Force client-side SSL redirection.

# If a user types "example.com" in his browser, the above rule will redirect him
# to the secure version of the site. That still leaves a window of opportunity
# (the initial HTTP connection) for an attacker to downgrade or redirect the
# request. The following header ensures that browser will ONLY connect to your
# server via HTTPS, regardless of what the users type in the address bar.
# http://www.html5rocks.com/en/tutorials/security/transport-layer-security/

# <IfModule mod_headers.c>
#    Header set Strict-Transport-Security max-age=16070400;
# </IfModule>
 

jaderbass

Noch nicht viel geschrieben

AW: SSL-Verschlüsselung für einzelne Seiten

Hallo cythux,

Danke für Deinen Hinweis. Ich denke aber dass
Code:
RewriteCond %{SERVER_PORT} !^443
das gleiche ist wie
Code:
%{HTTPS} off
da SSL-Verschlüsselung auf Port 443 kommuniziert.

Eine neue komische Sache ist jetzt aufgetreten: Die momentane Einstellung der Seite ist: Alles auf SSL. Bei Firefox werden die sicheren Seiten auch als sicher angezeigt (Schloss-Symbol in der Adressleiste) bei Chrome werden die Seiten aber mit gelbem Schloss (also wie alle anderen auch) also mit unsicheren Inhalten angezeigt. Ich raff's nicht mehr.

Jörg
 

cythux

Aktives Mitglied

AW: SSL-Verschlüsselung für einzelne Seiten

Dann hoffe ich das du hier noch jemanden findest. Des eventuell auch mit Thawte auskennt.

Ich nutze selber chrome v27.14xx und chromium, dort wird wenn ich FB/Twitter auf HTTPS jedoch als grünes schloss angezeigt.

Mein Code stammt von hier, den ich bisher auch des öfteren benutzt habe
 

Duddle

Posting-Frequenz: 14µHz

AW: SSL-Verschlüsselung für einzelne Seiten

Was meinst du mit
Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das
?
Wenn du regist.php aufrufst, willst du zu https://.../regist.php. In regist.php gibt es dann ein Bild mit <img src="img/foo.jpg" />. Dieses soll über http kommen, kommt im Moment aber über https? Wie genau überwachst/merkst du das?


Duddle
 

jaderbass

Noch nicht viel geschrieben

AW: SSL-Verschlüsselung für einzelne Seiten

Was meinst du mit ?
Das funktioniert, allerdings kommen auf den "sicheren" Seiten irgendwie noch unsichere Inhalte durch, jedenfalls meldet der Browser das

Ich meine damit folgendes: Wenn ich die Seite aufrufe mit kommt die Seite über http:. Klicke ich dann auf den Link zur regist.php wird diese über https: geschickt. Auf dieser Seite befinden sich keine Inhalte die über http kommen, da ich für Bilder relative src-Attribute verwende.

In der Adresszeile des Browsers steht aber das Symbol für nur teilweise sichere Verbindungen.

Ich hoffe ich konnte mich verständlich ausdrücken.

Jörg
 

Duddle

Posting-Frequenz: 14µHz

AW: SSL-Verschlüsselung für einzelne Seiten

Auf dieser Seite befinden sich keine Inhalte die über http kommen, da ich für Bilder relative src-Attribute verwende.
Aber laut deiner .htaccess werden alle Anfragen, die nicht auf die vier .php-Dateien gehen wieder auf http umgebogen. Das würde
das Symbol für nur teilweise sichere Verbindungen
erklären (obwohl ich nicht 100%ig weiß, was der Browser damit exakt meint). Daher fragte ich, woher du weißt was mit welchem Protokoll übertragen wird.


Duddle
 

lachender_engel

Aktives Mitglied

AW: SSL-Verschlüsselung für einzelne Seiten

Bevor wir uns hier im Dunkeln tappen ist es besser Du gibst uns den Link zur Seite, damit wir uns das direkt anschauen können.
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Statistik des Forums

Themen
118.614
Beiträge
1.538.351
Mitglieder
67.525
Neuestes Mitglied
mgtaucher
Oben