code veranderen bij https?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Tom aan t Goor

Tom aan t Goor

21/04/2014 08:57:57
Quote Anchor link
Hoi,

Als ik een SSL certificaat op mijn eigen server installeer.
Moet ik dan ook dingen aanpassen aan mijn PHP code, of hoeft dat niet?

Kan ik de server dus met http en https naar de zelfde map laten verwijzen?
 
PHP hulp

PHP hulp

25/11/2020 00:52:34
 
Frank Nietbelangrijk

Frank Nietbelangrijk

21/04/2014 09:58:58
Quote Anchor link
Tom aan t Goor op 21/04/2014 08:57:57:
Als ik een SSL certificaat op mijn eigen server installeer.
Moet ik dan ook dingen aanpassen aan mijn PHP code, of hoeft dat niet?

Als er iets gewijzigd hoeft te worden is/zijn het alleen de url's. Als de code goed in elkaar zit is dit enkel een wijziging in de config van http:// naar https:// of zelfs helemaal niets.

Tom aan t Goor op 21/04/2014 08:57:57:
Kan ik de server dus met http en https naar de zelfde map laten verwijzen?


Ja.

Toevoeging op 21/04/2014 09:59:00:

Tom aan t Goor op 21/04/2014 08:57:57:
Als ik een SSL certificaat op mijn eigen server installeer.
Moet ik dan ook dingen aanpassen aan mijn PHP code, of hoeft dat niet?

Als er iets gewijzigd hoeft te worden is/zijn het alleen de url's. Als de code goed in elkaar zit is dit enkel een wijziging in de config van http:// naar https:// of zelfs helemaal niets.

Tom aan t Goor op 21/04/2014 08:57:57:
Kan ik de server dus met http en https naar de zelfde map laten verwijzen?


Ja.
 
- Ariën -
Beheerder

- Ariën -

21/04/2014 10:00:34
Quote Anchor link
Je moet wel zeker zijn dat je de mogelijkheden van SSL wel benut.
Dus als mensen inloggen, of een betaling doen. Laat ze dan altijd naar je SSL-pagina verwijzen:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
<?php
if (empty($_SERVER['https']) || $_SERVER['https'] != 'on') {
    header('location: https://www.site.nl');
}

?>
Gewijzigd op 21/04/2014 10:00:53 door - Ariën -
 
Tom aan t Goor

Tom aan t Goor

21/04/2014 10:02:06
Quote Anchor link
Frank, bedankt voor je antwoord.

Aar, kan ik dit niet beter instellen in de .htaccess?
 
- Ariën -
Beheerder

- Ariën -

21/04/2014 10:16:13
Quote Anchor link
Kan ook, het ligt eraan of je alles in HTTPS wilt plaatsen?

Onthoud wel dat je dan niet plaatjes en JS-scripts uit de HTTP-omgeving kan mixen. Dat leidt tot mixed-content foutmeldingen.
 
Dos Moonen

Dos Moonen

21/04/2014 10:33:33
Quote Anchor link
Nee, beter is het om een apparte virual host te hebben voor HTTP (port 80) en HTTPS. Dan is de enige instructie die je bij de HTTP versie zet een redirect naar de HTTPS versie.

Zie het eerste voorbeeld op http://httpd.apache.org/docs/2.4/rewrite/avoid.html
Of https://www.owasp.org/index.php/HTTP_Strict_Transport_Security als je HTTP urls naar de nieuwe HTTPS urls wilt laten verwijzen.
Optie een is de beste voor nieuwe websites naar mijn idee: je bestraft mensen die http:// links gebruiken.

Ja, ik stel voor dat je de hele website alleen nog via HTTPS laat werken

Stuur ook HSTS headers (zie de bovenstaande gelinkte OWASP pagina) zodat browsers die HSTS ondersteunen voor X aantal seconden alleen via HTTPS verbinding proberen te maken. Zo is voor mensen die goede browsers gebruiken het aantal openingen voor een Man-In-The-Middle attack tot 1 als ze de site regelmatig bezoeken: de aller eerste keer. Als de eerste keer al via HTTPS is dan zou het 0 zijn.

PS. ok, je zou kunnen beargumenteren dat via .htaccess beter is dan het regelen via PHP. Maar de oplossing met virtual hosts wint het van beiden.
Gewijzigd op 21/04/2014 10:37:20 door Dos Moonen
 
Ozzie PHP

Ozzie PHP

21/04/2014 11:21:46
Quote Anchor link
Ga je dan je complete website over een HTTPS verbinding sturen, of alleen specifieke pagina's (waarbij kritische gegevens worden verstuurd)? Als je alles over HTTPS stuurt wordt e.e.a. wel wat trager vanwege het encrypten/decrypten.
 
Tom aan t Goor

Tom aan t Goor

21/04/2014 12:36:04
Quote Anchor link
Ik denk er nu nog aan om alles via HTTPS te versturen.

Ik kan begrijpen dat het wat trager wordt. Alleen aan hoeveel tijd moet ik denken?
Een paar honderdste, of echt secondes?
 
Jasper De Moor

Jasper De Moor

21/04/2014 15:27:22
Quote Anchor link
hangt van de pc en de verbinding af maar normaal niet veel trager (honderdsten)
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.