Apache2 SSL Https Nutzung, erzwingen/force

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache2 SSL Https Nutzung, erzwingen/force

Postby sykchef747 » 26. June 2013 13:28

Hallo zusammen,

wir haben hier auf einem Server (Ubuntu LTS, Apache2) mehrere Virtual Hosts mit unterschiedlichen DNS Namen auf die selbe IP. Die Verbindungen an die
Virtual Hosts sollen alle bis auf einen zwingend auf Https bzw. Port 443 umgeleitet werden. Bei der Umsetzung bin ich auf verschiedenen Wege
bzw. Möglichkeiten dazu gestoßen und würde jetzt gerne einmal in Erfahrung bringen welche die besten Lösung ist bzw. welche Nachteile ggbf.
durch die anderen entstehen?

Einmal gibt es die Möglichkeit mit einer .htaccess Datei in dem Webroot des jeweiligen Virtual Hosts mit dem Inhalt:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Zu dieser Lösung scheint optional zu sein, das man noch zudem in der .htaccess Datei folgenden Eintrag hinzufügt:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq "domain1.com"
ErrorDocument 403 https://domain1.com

Und zum anderen die Lösung in der /etc/apache2/sites-enabled/000-default Datei je virtuellem
Host einen Redirect einzutragen. Dann würde die für den virtuellen Hosts nötigen Infos/Details/Directory etc. aus der default-ssl Datei lesen?

<VirtualHost *:80>
ServerAdmin admin@domain.de
Servername domainmain.de

DocumentRoot /var/www/
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
.
.
.
</Directory>

</VirtualHost>

<VirtualHost *:80>
ServerAdmin admin@domain.de
Servername domain1.de

Redirect / https://domain1.de/
</VirtualHost>

<VirtualHost *:80>
ServerAdmin admin@domain.de
Servername domain2.de

Redirect / https://domain2.de/
</VirtualHost>

Vielen Dank schonmal für alle Infos dazu :)
sykchef747
 
Posts: 5
Joined: 26. June 2013 13:05
Operating System: Ubuntu

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Nobbie » 26. June 2013 22:03

sykchef747 wrote:wir haben hier auf einem Server (Ubuntu LTS, Apache2)


Wer oder was ist "wir"?
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby sykchef747 » 26. June 2013 22:07

"Wir" steht stellvertretend für den Testwebserver einer öffentlichen Einrichtung der von mir betreut wird.
Dürfte aber zweitrangig sein? ;)
sykchef747
 
Posts: 5
Joined: 26. June 2013 13:05
Operating System: Ubuntu

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Nobbie » 26. June 2013 22:20

sykchef747 wrote:Dürfte aber zweitrangig sein? ;)


Überhaupt ganz und gar nicht. Die Antwort reicht mir auch nicht, aber das ist Deine Entscheidung.

Hier stellen teilweise hochqualifizierte Kräfte ihr Knowhow kostenlos zur Verfügung und verfolgen damit natürlich eine bestimmte Intention. Diese besteht aber ganz sicher nicht darin, kommerziell ausgerichteten Unternehmen "für lau" Unterstützung anzubieten und Probleme zu lösen (und damit kontraproduktiv dem dafür vorhandenen Beratermarkt entgegen zu wirken), die diese dann ihrerseits in ihre kommerziellen Interessen einfließen lassen, sondern dem kleinen Mann von der Straße oder dem Schüler zu Hause einen Support zu liefern, den dieser natürlich nicht kommerziell erwerben kann.

Arbeitest Du unentgeltlich für diese öffentliche Einrichtung?
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby sykchef747 » 27. June 2013 08:09

Hi,

ok unter dem Aspekt verstehe ich das besser.
Hierbei handelt es sich zum einem um eine staatliche Einrichtung
die generell dem Allgemeinwohl dient und nicht kommerziell orientiert ist,
und zum anderen ist dies ein eigenes Testprojekt um einfach meinen eigenen Horizont zu erweitern.

Letztlich läuft die Testkiste stabil da ich mich schon für die Lösung mittels redirect entschieden,
auch weil der Konfigurationsaufwand geringer ist, aber interessant wäre schon zu wissen wie
es sich zur zweiten Lösung verhält :-)
sykchef747
 
Posts: 5
Joined: 26. June 2013 13:05
Operating System: Ubuntu

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Nobbie » 27. June 2013 18:12

Meine Frage ("Arbeitest Du unentgeltlich für diese öffentliche Einrichtung?") hast Du aber nicht beantwortet - und dann gehe ich davon aus, dass Du bezahlt wirst. Und ich löse nicht für umsonst Probleme für Leute, die dafür bezahlt werden. Ich denke, das kannst Du verstehen (und bin mir sicher, würdest Du auch nicht tun).

Aber es klingt ja auch nicht so superwichtig, dann wirst Du das vielleicht selbst im Rahmen Deiner Freizeit irgendwann herausbekommen.
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby sykchef747 » 27. June 2013 20:39

Nobbie wrote:Meine Frage ("Arbeitest Du unentgeltlich für diese öffentliche Einrichtung?") hast Du aber nicht beantwortet - und dann gehe ich davon aus, dass Du bezahlt wirst. Und ich löse nicht für umsonst Probleme für Leute, die dafür bezahlt werden. Ich denke, das kannst Du verstehen (und bin mir sicher, würdest Du auch nicht tun).

Aber es klingt ja auch nicht so superwichtig, dann wirst Du das vielleicht selbst im Rahmen Deiner Freizeit irgendwann herausbekommen.


Sofern jemand Geld für eine bestimmte Leistung erhält, an der man dann "unentgeltlich" mitwirkt stimme ich dir eingeschränkt zu.
Ist in diesem Fall nicht so, da mein Privatvergnügen.
Wäre es "superwichtig" und essenziell für ein Produktivsystem würde ich sicher auch nicht in einem Forum nach Rat suchen...

Nun ist es aber so das man sich hin und wieder gerade durch solche Testinstallationen Know How aneignet und das man mit seinem Wissen irgendwann mal Geld verdient
lässt sich also auch nicht ausschließen. Für diesen Zweck aber definitiv!
Und letztlich, deshalb nur meine eingeschränkte Zustimmung, bin ich selbst gerne immer bereit und auch aktiv dabei anderen in Foren soweit möglich zu helfen.
Das auch ganze ohne zu hinterfragen ob damit jemand in direktem Zusammenhang Geld verdient. Hinterfragen würde man so etwas erst wenn jemand
entweder garkeine Ahnung hat von dem was er da tut oder eine komplette Installationsanweisung haben möchte...

Aber hier geht es nichtmal um ein "Problem" sondern vielmehr eine Verständnisfrage?
Dennoch, wenn du nicht Antworten möchtest ist das i.O., allerdings lässt sich die Zeit auch sinnvoller einsetzen, andere haben ja auch Fragen...
Daher bitte nur noch fachliche Antworten. Schönen Abend noch!
sykchef747
 
Posts: 5
Joined: 26. June 2013 13:05
Operating System: Ubuntu

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Nobbie » 27. June 2013 23:39

Also zur Sache, der simple Redirect im Vhost wäre sicher auch meine Lösung, insbesondere da auch der Rewrite letztendlich darauf hinausläuft, aber erheblich untransparenter ist und letztendlich auch das Laden des Moduls mod_rewrite benötgt, alles in allem damit viel zu aufwändig ist, ohne dafür irgendeinen Vorteil zu bieten.
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Altrea » 28. June 2013 04:41

Ich bin etwas überrascht dass ein rewrite auf ein Protokoll wie HTTPS überhaupt funktioniert.
http://wiki.apache.org/httpd/RewriteHTTPToHTTPS

Ein rewrite funktioniert doch Webserver intern und ist für den Browser nicht transparent. Wie visualisiert der Browser also die Informationen und Gültigkeitsprüfung des Zertifikats? Oder wird bei rewrites auf Protokollebene eh ein implizierer redirect ausgeführt?

Mein Ansatz wäre definitiv auch ein sauberer redirect
http://wiki.apache.org/httpd/RedirectSSL
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 11926
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 11 Pro x64

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby Nobbie » 28. June 2013 12:29

Altrea wrote:Ich bin etwas überrascht dass ein rewrite auf ein Protokoll wie HTTPS überhaupt funktioniert.
http://wiki.apache.org/httpd/RewriteHTTPToHTTPS

Ein rewrite funktioniert doch Webserver intern und ist für den Browser nicht transparent. Wie visualisiert der Browser also die Informationen und Gültigkeitsprüfung des Zertifikats? Oder wird bei rewrites auf Protokollebene eh ein implizierer redirect ausgeführt?


Nicht nur implizit, sondern auch explizit:

RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI} [R,L]


Siehst Du hinten die Optionen? Das "R" heißt "Redirect".

Ich meine aber in Erinnerung zu haben (müßte man mal ausprobieren - obwohl Option R natürlich Sicherheit bringt), dass mod_rewrite auch implizit einen Redirect veranstaltet, wenn das Ziel kein "internes" Ziel ist, sondern eine vollständige URL (mit Protokoll und Domain/Host). Ein interner Rewrite findet nur statt, wenn es auch intern erreichbar ist.

Altrea wrote:Mein Ansatz wäre definitiv auch ein sauberer redirect
http://wiki.apache.org/httpd/RedirectSSL


Sieh mal an, hast Du den letzten Satz aus obiger Seite gelesen? Genau was ich sage:

While the <VirtualHost> solution is recommended because it is simpler and safer, you can also use mod_rewrite to get the same effect as described here: RewriteHTTPToHTTPS
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Re: Apache2 SSL Https Nutzung, erzwingen/force

Postby sykchef747 » 02. July 2013 13:00

Ok, das klärt es doch dann auch schon :)
Die Möglichkeit mittels Rewrite hatte ich versucht, allerdings hatte er dabei dann Probleme die Verschlüsselung
bzw. Zertifikatsvalidierung über Https aufrecht zu erhalten. Es ergab sich das dann angezeigt wurde das die Seite
"teilweise unverschlüsselt sei". Dabei hatte ich vermutet das es eventuell nicht die beste Lösung ist und auf den direkten Redirect gesetzt,
auch wesentlich simpler einzusetzen. Mit euren Rückmeldungen bestätigt sich das ja dann und ich muss nicht weiter suchen ob es vielleicht an
einer falschen Konfiguration lag. Wieder was gelernt! :)

Danke und Grüße
sykchef747
 
Posts: 5
Joined: 26. June 2013 13:05
Operating System: Ubuntu


Return to Apache

Who is online

Users browsing this forum: No registered users and 31 guests