Apache Friends Support Forum

[unleash_it]

Activating SSL support for the phpBB-forum: enabling of the SSL certificate on your Board: HowTos and more!




i have collected some ideas and examples that help to do so accordingly. see them - and add your ideas - and if you know more - then send in your ideas & additional data. ...

thanks alot!


cf: https://www.fastcomet.com/tutorials/phpbb3/enabling-ssl

SSL stands for Secure Socked Layer and its basic use is to encrypt the information sent from your users’ devices to your website. Such information is the usernames and passwords, the personal information in the user’s profile and also any custom files you have set for the user registration. In this tutorial we will show you how in few easy to follow steps you will be able to activate the already installed SSL certificate for your domain on your phpBB 3 Board.

Since the enabling of the SSL certificate on your Board is an administrative function you will need to first login into your Administration Control Panel and then you will need to navigate to General > Server Configuration > Cookie Settings.

This is the default configuration page for the cookies handling by your Board. On that page you will probably notice a single section of settings containing few fields. The good news here is that you will need to only change a single field in order to get the SSL certificate activated for your Board. The last field called Cookie secure is the one you are looking for and you will need to simply change its value to Enabled.

Once you have this done you should simply press the Submit button at the bottom of that section so you can have the configuration saved.
That is all you need to activate the SSL certificate on your phpBB 3 Board. How easy and straight was that?!

see also the tutorial: How to Enable SSL in phpBB
https://www.interserver.net/tips/kb/enable-ssl-phpbb/

In this documentation, we can check how to enable SSL in phpBB.
1) Login to phpBB admin panel.
2) Go to the section ‘Server Configuration’.
3) Click on the ‘Cookie Settings’.
4) Go to the option ‘Cookie secure’.
5) Click the radio button near to the ‘Enabled’.
6) Click the button ‘Submit’.
That is how we can enable SSL in phpBB.
If you need any further assistance please contact our support department.

and - in german language the How To: phpBB richtig auf HTTPS umstellen
cf https://tas2580.net/blog/phpbb-https-umstellen.html

Zertifikat besorgen:

Damit man die Webseite ohne Warnung über HTTPS aufrufen kann benötigt man ein gültiges Zertifikat für jede (Sub) Domain die man über HTTPS nutzen möchte. Wenn man sehr viele Subdomains verwendet oder immer mal wieder welche anlegt empfiehlt sich ein "Wildcard" Zertifikat das dann für die Domain und alle Subdomains gültig ist.
Wer einen eigenen Server betreibt kann sich dank Let's Encrypt kostenlos beliebig viele Zertifikate ausstellen lassen. Alternativ kann man auch einfach den Caddy Webserver verwenden der für alle angelegten Domains automatisch Zertifikate erstellt.
Wer sein Forum auf normalem Webspace betreibt muss bei seinem Anbieter schauen ob der SSL Zertifikate anbietet, die meisten Anbieter stellen mittlerweile kostenlose Zertifikate für ihre Kunden bereit. Wie man das Zertifikat bei seinem Anbieter beantragt und aktiviert erfährt man über den Support des jeweiligen Anbieters.

Sollte der Webspace- oder Domain- Anbieter keine Zertifikate anbieten kann man über Cloudflare wenigstens die Verbindung zum Nutzer über HTTPS absichern.

Nachdem man das Zertifikat richtig installiert hat sollte sich die Webseite unter https://example.com aufrufen lassen ohne, dass der Browser dabei eine Warnung ausgibt.

phpBB Umstellen
Wenn der Aufruf der Seite über HTTPS funktioniert muss man noch ein paar Kleinlichkeiten an der Forensoftware anpassen. dazu sind zu erst mal die Einstellungen im Administrationsbereich wichtig.

Cookie Einstellungen
Damit die Cookies die das Forum setzt über HTTPS ausgeliefert werden muss unter Allgemein -> Coockies die Option Sicherer Server aktiviert werden. Danach sind die alten Cookies ungültig und alle Benutzer müssen sich einmalig neu anmelden.

Server Einstellungen
Um dem Webserver zu sagen, dass er das Forum über HTTPS ausliefern soll muss unter Allgemein -> Server und Domain die bei Server-Protokoll https:// statt http:// eingetragen werden. Außerdem muss man bei Server-Port 443 statt wie bisher 80 eintragen. Die Einstellung Erzwinge Server-URL-Einstellungen sollte man auf Ja stellen damit das Forum in Zukunft die HTTPS URL für die Kanonische URL ausgibt.

Nun ist man mit den Einstellungen im Adminbereich erst mal fertig und kann das Forum unter HTTPS aufrufen und testen ob alles wie gewünscht funktioniert.

Externe Ressourcen
Wenn eine Webseite über HTTPS aufgerufen wird müssen auch alle eingebundenen Ressourcen über HTTPS aufgerufen werden, hier liegt meistens das größte Problem bei der Umstellung auf HTTPS. Das ist gerade bei Foren ein Problem da dort immer mal wieder Benutzer Bilder von nicht HTTPS Seiten in ihren Beiträgen verwenden was dann zu einer Warnung im Browser führt. Um das Problem zu vermeiden kann man die externe Bilder als Link Erweiterung benutzen die alle extern eingebundenen Bilder nicht direkt anzeigt sondern verlinkt. Auf nicht HTTPS Seiten zu verlinken ist kein Problem, nur direkt eingebunden werden darf eben nichts über HTTP.

Ein weiteres Problem sind Avatare die von externen Servern verwendet werden. Hier sollte man also das verwenden von externen Avataren komplett verbieten und die Benutzer dazu zwingen ihre Avatare direkt auf den Server zu laden.
Wer in sein Style weitere Ressourcen wie Benutzerzähler oder Banner eingebunden hat sollte auch die Überprüfen, vor allem JavaScripts werden vom Browser blockiert wenn sie von einem unsicheren Server kommen.

Webserver konfigurieren
Zum Schluss sollte man noch ein paar Anpassungen an der Konfiguration des Webservers machen.

HTTP Strict Transport Security
Um sicherzustellen, dass die Seite in Zukunft nur noch über HTTPS aufgerufen wird kann man HTTP Strict Transport Security aktivieren, dazu macht man folgenden Eintrag in seiner .htaccess Datei.

Header set Strict-Transport-Security "max-age=31536000"
Die hinter max-age angegebene Zahl gibt an für wie viele Sekunden die Domain nur über HTTPS aufgerufen werden darf. Hier muss man sicherstellen, dass man auch für die angegebene Zeit ein Zertifikat besitzt da sich die Seite nachdem der Header einmal gesetzt wurde nur noch über HTTPS aufrufen lässt.

301 Weiterleitung
Bevor man den Schritt macht sollte man erst mal warten bis Google das Forum über HTTPS im Index hat. Das kann man ganz einfach mit der suche nach site:example.com bei Google prüfen. Hier sollte möglichst alle URLs mit HTTPS angezeigt werden. Nach der Umstellung des Forums kann es einige Zeit dauern bis Google die Seite neu indiziert hat. Wenn man direkt eine Umleitung auf HTTPS erzwingt kann es vorkommen das man seine Rankings verliert, also lieber erst mal langsam machen und Google etwas Zeit geben.

Wenn die Domain per HTTPS im Index ist kann man über seine .htaccess die verwendung von HTTPS erzwingen, dazu macht man folgenden Eintrag in der .htaccess:

RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Weitere Umstellungen
Wer die Google Webmaster Tools verwendet sollte dort die Seite nochmal neu mit HTTPS eintragen und alle Sitemaps neu einreichen. Wenn man die Möglichkeit hat Links zum Forum zu bearbeiten sollte man auch die alle umstellen.

Zum Schluss kann man dann auf ssllabs.com sein Zertifikat testen.

see more here https://tas2580.net/blog/phpbb-https-umstellen.html


Summary: i have collected some ideas and examples that help to do so accordingly. see them - and add your ideas - and if you know more - then send in your ideas & additional data. ...

thanks alot!

[unleash_it]

by the way - additionally i found another document: https://www.phpbbservices.com/2017/01/3 ... oFL8HVfjtE

SSL vs. TLS encryption
To make https work, a digital certificate must be installed on your web server. Keys in the certificate are used to encrypt communications, by the server with a private key which is decrypted by the receiver with a public key provided when the connection is established. SSL (secure socket layer) or TLS (transport layer security) protocols are used to facilitate secure communications over HTTP. TLS is the newer technology and SSL is now seen less frequently because it is easier to hack. Whether using SSL or TLS though, it’s behind the scenes stuff. The user just sees https in the URL and assumes data going to and from your forum will be transmitted securely.

Configuring phpBB to use HTTPS
By default, phpBB assumes you will be using HTTP, not HTTPS. Once your certificate is installed and tested, it’s easy to change phpBB in the Administration Control Panel: ACP > General > Server configuration > Server settings. Then change server protocol from http:// to https:// and the server port from 80 to 443. What this does is change the links across the site.
Also, change your cookie settings to use a secure cookie: ACP > General > Server configuration > Cookie settings.
Do you have a httpsdocs or ssl folder? You may want to move your web content into it.
It you normally place your web content into a httpdocs folder, check to see if there is also a httpsdocs folder. This is commonly set up for you if you use Plesk as a web host control panel. Content in the httpsdocs folder is served securely.

In some configurations, there is a public_html folder for web content and also a ssl folder for secure content. In this case you could move the content of the public_html folder into the ssl folder.

This is a one-time action. If you have lots of files, it may take a while to move all the content. If you have a file manager, this makes it easier, but be careful to get the paths just right! You might want to backup your site before attempting this.

Redirecting HTTP traffic to HTTPS
Even with a certificate installed it’s possible that you will get requests for forum traffic using HTTP. You may want to make all HTTP traffic use HTTPS traffic instead. You can see what type of web server you are using the Administration Control Panel: ACP > General > Quick access > PHP Information. Scan for “Server API”.

These instructions will work if your web server is Apache. Edit your .htaccess file in your forum (or to make it across the whole site, edit or create a .htaccess file in your web root) as follows. Place this code at or near the top of the file, changing mysite.com to your domain name:

Code: Select all

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mysite.com/$1 [R,L]


have a great day