3.158 views
Voor een inlog hebben wij een SSL-certificaat gekocht. Moet nog geïnstalleerd worden en gekoppeld. Maar dan? Ik weet het egnie!
Het ligt echt aan de set-up van je server. Hoe is deze geinstalleerd, welk control-panel gebruik je?
Dat deel dat bij de provider ligt dat is duidelijk. Ik moet het domein koppelen. Maar wat verandert er in mijn php inlogscript? Moeten de links en fomulieren nu allemaal van https voorzien zijn? Moet ik controleren op een veilige verbinding?
Ikzelf zou voor de handigheid een web_root gebruiken voor zowel https als http. En op belangrijke plaatsen zoals login- en registratiepagina's afdwingen om naar SSL over te gaan:
In geval van een MVC-systeem is dit gewoon controller-werk.
<?php
if (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
echo "Je bent nu verbonden met een SSL verbinding";
} else {
header('location:https://www.site.nl/login');
}
?>
In geval van een MVC-systeem is dit gewoon controller-werk.
Okée duidelijk.
Nu ga ik het certificaat koppelen. Ik krijg deze tekst:
"
Alle content op uw website (plaatjes, css, javascript e.d.) moet via HTTPS beschikbaar zijn als de site via HTTPS wordt bezocht.
Als de site via toch via HTTPS wordt bezocht en er wordt content via HTTP geladen dan zal de webbrowser een content warning geven of de content blokkeren.
"
Er is natuurlijk maar een klein deel van de site via inlog benaderbaar. Wil het bovenstaande nu zeggen dat als een reguliere bezoeker de site bezoek dat er dan direct gewaarschuwd word voor content warning?
--------------------------------------------------------------------------------
[size=xsmall]Toevoeging op 30/10/2014 15:28:25:[/size]
Dit stukje script
<?php
if (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
echo "Je bent nu verbonden met een SSL verbinding";
} else {
header('location:https://www.site.nl/login';);
}
?>
dat staat dan in een file.php die via http benaderd is/word???
Nu ga ik het certificaat koppelen. Ik krijg deze tekst:
"
Alle content op uw website (plaatjes, css, javascript e.d.) moet via HTTPS beschikbaar zijn als de site via HTTPS wordt bezocht.
Als de site via toch via HTTPS wordt bezocht en er wordt content via HTTP geladen dan zal de webbrowser een content warning geven of de content blokkeren.
"
Er is natuurlijk maar een klein deel van de site via inlog benaderbaar. Wil het bovenstaande nu zeggen dat als een reguliere bezoeker de site bezoek dat er dan direct gewaarschuwd word voor content warning?
--------------------------------------------------------------------------------
[size=xsmall]Toevoeging op 30/10/2014 15:28:25:[/size]
Dit stukje script
<?php
if (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
echo "Je bent nu verbonden met een SSL verbinding";
} else {
header('location:https://www.site.nl/login';);
}
?>
dat staat dan in een file.php die via http benaderd is/word???
Klopt, alle afbeeldingen, javascripts en css moeten ook via je https-verbinding moeten worden geladen. Anders krijgt iedereen een 'mixed content'-melding.
- Aar - op 30/10/2014 15:37:48
Klopt, alle afbeeldingen, javascripts en css moeten ook via je https-verbinding moeten worden geladen. Anders krijgt iedereen een 'mixed content'-melding.
En daarom zou ik zeggen schakel je hele site over op https. verander je linkjes van
http://jouwdomein.nl/directory/bestand.ext
naar /directory/bestand.ext (let op dat je altijd met een slash begint en dan het volledige pad benoemt.)
dan werkt het zowel voor http als https.
Alleen bij verschillende subdomeinen ligt het wat ingewikkelder maar dan heb je ook een uitgebreider certificaat nodig. Ik ga er nu even vanuit dat je een certificaat hebt voor deze twee:
https://jouwdomein.nl
https://www.jouwdomein.nl
Klopt
Met wat instellingen te maken in een .htaccess bestand kun je er nog voor zorgen dat de gebruiker direct wordt omgeleid naar https. Alle gebruikers komen dan dus automatisch op https uit. Bij sommige providers is daar al in voorzien zodra je het in je control panel hebt 'aan' gezet.
Het certificaat is gekoppeld aan de site. Ik heb nog niets aangepast in de scripts en tot nu toe lijkt alles 'normaal' Nu zou dus, telkens als er een bezoeker is, altijd een veilige verbinding zijn tussen de bezoeker en de server (volgens provider).
Alle gebruikte links op de site zijn niet voorzien van https. Moet dit allemaal veranderd worden of alleen het gedeelte waarin de administratie is ondergebracht?
Alle gebruikte links op de site zijn niet voorzien van https. Moet dit allemaal veranderd worden of alleen het gedeelte waarin de administratie is ondergebracht?
Je zult zelf naar https:// moeten verwijzen.