SSL probleem
Ik heb een ssl beveiligde pagina bij het inloggen op mijn site. Maar hij zegt dat er ook niet beveiligde verbindingen zijn. Maar ik kom er maar niet achter welke. (
Je moet al je links bekijken en allemaal hard linken naar https://. Zelfs de link naar een stylesheet via http:// is geen beveiligde verbinding. Hmm ja oke dus dat moet ik zelf handmatig invoeren. Maar mijn probleem is dat ik niet snap welk links er nu het probleem zijn.
Maar, ja het komt er op neer dat we bijna elke regel met een href waarbij geen https:// staat jouw kunnen aanbieden.
Maar naast dit probleem heb je ook nog het probleem dat je pagina's niet html valide zijn!
http://validator.w3.org/ Wat begrijp je dan niet van de post dd 07/08/2011 12:27:55 Bas Kreleger
Door middel van de link die Bas je geeft moet het lukken om al het verkeer om te zetten naar https://. Dit is een .htaccess bestand die je moet aanmaken en plaatsen op je server waardoor alles dus omgezet wordt naar https://. Je kunt het zelf nagaan door gewoon simpel te browser over je site heen. Wat blijkt is dat sommige links op je site pagina verwijzen naar gewone http:// waardoor de beveiliging weer weg valt (zie bron code). Er zit verder dus geen mechanisme die me weer naar de beveiligde pagina toestuurt https://.
Paar vraagjes
1. Moeten links van bijvoorbeeld in de footer die naar een andere website gaan ook https zijn?
2. Er is toch een nadeel aan alles https maken ivm google?
edit:
3. Als ik tijdelijk om te testen dit in .htaccess zet heb ik nog steeds het zelfde probleem :s
Oke ik ga daar dan even naar kijken.
Nope, naar andere sites is dat niet nodig.
2. Er is toch een nadeel aan alles https maken ivm google?
In het perspectief van SEO ziet Google https het zelfde als http.
3. Als ik tijdelijk om te testen dit in .htaccess zet heb ik nog steeds het zelfde probleem :s
Heb je wel RewriteEngine On toegevoegd in de .htaccess voor die Rewrite's? 1. Moeten links van bijvoorbeeld in de footer die naar een andere website gaan ook https zijn?
Bedankt iedereen! 3. Dat stond er wel bij maar ik denk dat ik de code op de verkeerde plaats heb gezet ofzo. Want nu werkt het wel!
Vraagje... ik kan zelf niet testen met https omdat ik zo'n verbinding niet heb.
Maar wat ik me afvraag... kan ik een https pagina gewoon op de normale (http) manier aanroepen, en werkt deze pagina dan gewoon? Ik zou denken dat als je een https pagina hebt dat je (bijvoorbeeld via je server-admin panel?) moet aangeven dat het om een https pagina gaat en dat die pagina dan alleen via https bereikbaar is en niet via http. Of... op je server heb je een mapje http en https. Alles wat in het mapje http staat moet je aanroepen met http en alles wat in het mapje https staat moet je aanroepen met https. Op deze manier zou je een https bestand dus nooit met http kunnen aanroepen. Of werkt het zo niet?
Je kunt zoiets ook ondervangen in je php code... als je pagina wordt aangeroepen met https:// dat je dan zorgt dat alle links (d.m.v. het gebruik van een variabele) ook met https:// beginnen. Dan is het probleem van de onbeveiligde verbindingen opgelost. Maar als je geen aparte mapjes hebt (zoals Vincent zegt) dan kan een pagina waarvan je wilt dat die beveiligd moet worden aangeroepen, nog steeds op de normale (http://) manier worden aangeroepen dus.
Ik kan me voorstellen dat je wil dat op een website bepaalde url's normaal worden aangeroepen en bepaalde url's beveiligd worden aangeroepen (denk aan inschrijfformulieren, winkelwagentjes e.d.). Dit lijkt me eigenlijk niet te doen via .htaccess. Wat je dan zou moeten doen is in je database (via een cms) aangeven of een url / route wel of niet beveiligd moet worden aangeroepen. Zodra de url dan wordt aangeroepen, controleer je of de url begint met http of https. Klopt het met wat in de databse staat... prima! Zo niet, dan redirecten naar http of https variant. Dat zou toch een mooie oplossing zijn?
Toevoeging op 07/08/2011 16:59:14:
P.S.
Wordt als je op een https verbinding zit een externe link (dus naar een ander domein) als onveilig beschouwd als deze begint met http:// ? Ah op die manier, oké... thanks.
Nope, maar als je dingen inlaad in je pagina als voorbeeld CSS of JavaScript bestanden wel. Dus daarvoor moet gezorgd worden dat die ook achter de beveiliging zitten. Dat kan dus ook gelden voor advertenties die op een pagina geladen worden al-dan-niet extern.
Externe links die gewoon worden weergegeven als in een <a> hebben verder geen extra toevoeging in de zin van beveiliging. Waar wel soms opgelet moet worden zijn links die naar eigen pagina's lijden.
Wat ik ooit ook eens gezien heb is; Bijvoorbeeld je hebt een login.php, men surft er na toe krijgt netjes de pagina; Als men kijkt in url balk is het https://www.jewebsite.nl/login.php. Tot zover alles netjes maar men heeft een formulier gemaakt in login.php om in te loggen maar de actie van het formulier wordt verwezen naar http://www.jewebsite.nl/login-handler.php dan wordt het ineens overgedragen naar een niet-beveiligde pagina. (Mocht er dus verder geen mechanische zijn die het nog automatisch omzet naar https.)
En inderdaad is het goed om niet alle pagina's onder https te laten draaien want het kost alleen maar server-load. Zeker op pagina's waar geen privacy gevoelige informatie staat ~ en geen informatie wordt verstuurd. Het is overbodig maar persoonlijk vind ik het professioneler om het dan toch op elke pagina te doen.
Overigens valt me op dat niet veel websites op https draaien eigenlijk. Zal wel met de kosten te maken hebben. Dankjewel voor je uitleg Benny! Wel leuk die laatste alinea... waarin je jezelf enigszins tegenspreekt... maar ik begrijp wel wat je bedoelt ;-)
Want het is uiteraard ook mogelijk om zelf een certificaat te genereren, alleen dan heb je het probleem dat het niet door de browser automatisch erkent wordt als een vertrouwelijke certificatie. En dan zal je dus als bezoeker van die site eerst het certificaat moeten goedkeuren ~ da's weer browser afhankelijk want bij de ene krijg je een lieve-melding en bij de andere een rode waarschuwing. Inderdaad, een certificaat kost ook nog jaarlijks een bepaald bedrag. Het goedkoopste certificaat is volgens mij iets van 10 euro per jaar (128 bit). Een certificaat kan ook alleen worden uitgegeven daar bepaalde bedrijven en dan hebben we het over een vertrouwde (trusted) certificaat.
Bedankt voor de reactie. Maar maakt de force het dan alleen https waar nodig?
Quote:
Gewijzigd op 07/08/2011 12:49:29 door Vincent Huisman
Maar, ja het komt er op neer dat we bijna elke regel met een href waarbij geen https:// staat jouw kunnen aanbieden.
Maar naast dit probleem heb je ook nog het probleem dat je pagina's niet html valide zijn!
http://validator.w3.org/
Door middel van de link die Bas je geeft moet het lukken om al het verkeer om te zetten naar https://. Dit is een .htaccess bestand die je moet aanmaken en plaatsen op je server waardoor alles dus omgezet wordt naar https://.
Paar vraagjes
1. Moeten links van bijvoorbeeld in de footer die naar een andere website gaan ook https zijn?
2. Er is toch een nadeel aan alles https maken ivm google?
edit:
3. Als ik tijdelijk om te testen dit in .htaccess zet heb ik nog steeds het zelfde probleem :s
Quote:
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://stuiterballen.com/$1 [R,L]
RewriteRule ^(.*)$ https://stuiterballen.com/$1 [R,L]
Gewijzigd op 07/08/2011 13:52:14 door W Stikkel
Nope, naar andere sites is dat niet nodig.
2. Er is toch een nadeel aan alles https maken ivm google?
In het perspectief van SEO ziet Google https het zelfde als http.
3. Als ik tijdelijk om te testen dit in .htaccess zet heb ik nog steeds het zelfde probleem :s
Heb je wel RewriteEngine On toegevoegd in de .htaccess voor die Rewrite's?
Bedankt iedereen!
Vincent Huisman op 07/08/2011 12:49:19:
Vraagje... ik kan zelf niet testen met https omdat ik zo'n verbinding niet heb.
Maar wat ik me afvraag... kan ik een https pagina gewoon op de normale (http) manier aanroepen, en werkt deze pagina dan gewoon? Ik zou denken dat als je een https pagina hebt dat je (bijvoorbeeld via je server-admin panel?) moet aangeven dat het om een https pagina gaat en dat die pagina dan alleen via https bereikbaar is en niet via http. Of... op je server heb je een mapje http en https. Alles wat in het mapje http staat moet je aanroepen met http en alles wat in het mapje https staat moet je aanroepen met https. Op deze manier zou je een https bestand dus nooit met http kunnen aanroepen. Of werkt het zo niet?
Gewijzigd op 07/08/2011 15:48:54 door Ozzie PHP
Ik heb op mijn hosts geen http/https mapjes, ik dacht dat het alleen een kwestie was van ssl certificaat installeren en dan aanroepen met https
Sommige hosters bieden inderdaad zoiets aan in een aparte folder als HTTPSDOCS of iets dergelijks. Maar is host afhankelijk ~ is maar net hoe het is geconfigureerd. Het zelfde geldt voor zo'n server-admin panel.
Je kunt zoiets ook ondervangen in je php code... als je pagina wordt aangeroepen met https:// dat je dan zorgt dat alle links (d.m.v. het gebruik van een variabele) ook met https:// beginnen. Dan is het probleem van de onbeveiligde verbindingen opgelost. Maar als je geen aparte mapjes hebt (zoals Vincent zegt) dan kan een pagina waarvan je wilt dat die beveiligd moet worden aangeroepen, nog steeds op de normale (http://) manier worden aangeroepen dus.
Ik kan me voorstellen dat je wil dat op een website bepaalde url's normaal worden aangeroepen en bepaalde url's beveiligd worden aangeroepen (denk aan inschrijfformulieren, winkelwagentjes e.d.). Dit lijkt me eigenlijk niet te doen via .htaccess. Wat je dan zou moeten doen is in je database (via een cms) aangeven of een url / route wel of niet beveiligd moet worden aangeroepen. Zodra de url dan wordt aangeroepen, controleer je of de url begint met http of https. Klopt het met wat in de databse staat... prima! Zo niet, dan redirecten naar http of https variant. Dat zou toch een mooie oplossing zijn?
Toevoeging op 07/08/2011 16:59:14:
P.S.
Wordt als je op een https verbinding zit een externe link (dus naar een ander domein) als onveilig beschouwd als deze begint met http:// ?
Ozzie PHP op 07/08/2011 16:57:25:
Toevoeging op 07/08/2011 16:59:14:
P.S.
Wordt als je op een https verbinding zit een externe link (dus naar een ander domein) als onveilig beschouwd als deze begint met http:// ?
P.S.
Wordt als je op een https verbinding zit een externe link (dus naar een ander domein) als onveilig beschouwd als deze begint met http:// ?
Nope, maar als je dingen inlaad in je pagina als voorbeeld CSS of JavaScript bestanden wel. Dus daarvoor moet gezorgd worden dat die ook achter de beveiliging zitten. Dat kan dus ook gelden voor advertenties die op een pagina geladen worden al-dan-niet extern.
Externe links die gewoon worden weergegeven als in een <a> hebben verder geen extra toevoeging in de zin van beveiliging. Waar wel soms opgelet moet worden zijn links die naar eigen pagina's lijden.
Wat ik ooit ook eens gezien heb is; Bijvoorbeeld je hebt een login.php, men surft er na toe krijgt netjes de pagina; Als men kijkt in url balk is het https://www.jewebsite.nl/login.php. Tot zover alles netjes maar men heeft een formulier gemaakt in login.php om in te loggen maar de actie van het formulier wordt verwezen naar http://www.jewebsite.nl/login-handler.php dan wordt het ineens overgedragen naar een niet-beveiligde pagina. (Mocht er dus verder geen mechanische zijn die het nog automatisch omzet naar https.)
En inderdaad is het goed om niet alle pagina's onder https te laten draaien want het kost alleen maar server-load. Zeker op pagina's waar geen privacy gevoelige informatie staat ~ en geen informatie wordt verstuurd. Het is overbodig maar persoonlijk vind ik het professioneler om het dan toch op elke pagina te doen.
Overigens valt me op dat niet veel websites op https draaien eigenlijk. Zal wel met de kosten te maken hebben.
Want het is uiteraard ook mogelijk om zelf een certificaat te genereren, alleen dan heb je het probleem dat het niet door de browser automatisch erkent wordt als een vertrouwelijke certificatie. En dan zal je dus als bezoeker van die site eerst het certificaat moeten goedkeuren ~ da's weer browser afhankelijk want bij de ene krijg je een lieve-melding en bij de andere een rode waarschuwing.
Ah oke... maar kost zo'n certificaat maar 10,- euro per jaar? Dan verbaast het me dat niet meer bedrijven zo'n certificaat hebben eigenlijk. 10,- euro lijkt me niet veel.