code veranderen bij https?

Tom aan t Goor op 21/04/2014 08:57:57

Als ik een SSL certificaat op mijn eigen server installeer.
Moet ik dan ook dingen aanpassen aan mijn PHP code, of hoeft dat niet?

Als er iets gewijzigd hoeft te worden is/zijn het alleen de url's. Als de code goed in elkaar zit is dit enkel een wijziging in de config van http:// naar https:// of zelfs helemaal niets.

Tom aan t Goor op 21/04/2014 08:57:57

Kan ik de server dus met http en https naar de zelfde map laten verwijzen?

Ja.

Toevoeging op 21/04/2014 09:59:00:

Tom aan t Goor op 21/04/2014 08:57:57

Als ik een SSL certificaat op mijn eigen server installeer.
Moet ik dan ook dingen aanpassen aan mijn PHP code, of hoeft dat niet?

Als er iets gewijzigd hoeft te worden is/zijn het alleen de url's. Als de code goed in elkaar zit is dit enkel een wijziging in de config van http:// naar https:// of zelfs helemaal niets.

Tom aan t Goor op 21/04/2014 08:57:57

Kan ik de server dus met http en https naar de zelfde map laten verwijzen?

Ja.

Je moet wel zeker zijn dat je de mogelijkheden van SSL wel benut.
Dus als mensen inloggen, of een betaling doen. Laat ze dan altijd naar je SSL-pagina verwijzen:

<?php
if (empty($_SERVER['https']) || $_SERVER['https'] != 'on') {
	header('location: https://www.site.nl');
}
?>

Frank, bedankt voor je antwoord.

Aar, kan ik dit niet beter instellen in de .htaccess?

Kan ook, het ligt eraan of je alles in HTTPS wilt plaatsen?

Onthoud wel dat je dan niet plaatjes en JS-scripts uit de HTTP-omgeving kan mixen. Dat leidt tot mixed-content foutmeldingen.

Nee, beter is het om een apparte virual host te hebben voor HTTP (port 80) en HTTPS. Dan is de enige instructie die je bij de HTTP versie zet een redirect naar de HTTPS versie.

Zie het eerste voorbeeld op http://httpd.apache.org/docs/2.4/rewrite/avoid.html
Of https://www.owasp.org/index.php/HTTP_Strict_Transport_Security als je HTTP urls naar de nieuwe HTTPS urls wilt laten verwijzen.
Optie een is de beste voor nieuwe websites naar mijn idee: je bestraft mensen die http:// links gebruiken.

Ja, ik stel voor dat je de hele website alleen nog via HTTPS laat werken

Stuur ook HSTS headers (zie de bovenstaande gelinkte OWASP pagina) zodat browsers die HSTS ondersteunen voor X aantal seconden alleen via HTTPS verbinding proberen te maken. Zo is voor mensen die goede browsers gebruiken het aantal openingen voor een Man-In-The-Middle attack tot 1 als ze de site regelmatig bezoeken: de aller eerste keer. Als de eerste keer al via HTTPS is dan zou het 0 zijn.

PS. ok, je zou kunnen beargumenteren dat via .htaccess beter is dan het regelen via PHP. Maar de oplossing met virtual hosts wint het van beiden.

Ga je dan je complete website over een HTTPS verbinding sturen, of alleen specifieke pagina's (waarbij kritische gegevens worden verstuurd)? Als je alles over HTTPS stuurt wordt e.e.a. wel wat trager vanwege het encrypten/decrypten.

Ik denk er nu nog aan om alles via HTTPS te versturen.

Ik kan begrijpen dat het wat trager wordt. Alleen aan hoeveel tijd moet ik denken?
Een paar honderdste, of echt secondes?

hangt van de pc en de verbinding af maar normaal niet veel trager (honderdsten)