it-swarm.com.de

Benötigt die https-Site nach der Installation des SSL-Zertifikats eine zusätzliche Konfiguration?

Ich habe kürzlich eine Incentive-Website für eine europäische Bank entwickelt und eine der Anforderungen war SSL - auf der Website werden einige persönliche Kundendaten angezeigt (allerdings keine finanziellen oder wirklich sensiblen Daten).

Die Website wird auf einer gemeinsam genutzten Plattform gehostet und ich habe ein einzigartiges IP + Comodo SSL-Zertifikat bei meinem Webhost gekauft. Sie kümmern sich um die Installation.

Am nächsten Montag wird die Website von einer Wirtschaftsprüfungsgesellschaft getestet. Ich muss also sicherstellen, dass alles perfekt gesichert ist. Die Webanwendung selbst und der Server sind perfekt gesichert und entsprechen den Anforderungen (von einem Kollegen mit angemessenen Kenntnissen). Es muss nur noch SSL installiert werden.

Meine Fragen:

  • Benötigt dies eine zusätzliche Konfiguration im Quellcode der Website?
  • Bedeutet dies, dass die Website nicht über http und nur über https erreichbar ist? Mein Webhost teilte mir mit, dass ich https als zusätzliche Funktion sehen könnte, und reguläres http bleibt ebenfalls verfügbar. Wie kann ich also sicher sein, dass der gesamte Datenverkehr über https erfolgt?

(Entschuldigung für meine Fragen - ich bin ein Designer, kein Serverspezialist - und ich habe absolut keine Erfahrung mit SSL.)

Vielen Dank!

6
ptriek

Nein, im Quellcode der Website ist keine zusätzliche Konfiguration erforderlich. Das HTTPS wird vom Webserver verwaltet und sollte für Ihre Website-Codebasis weitgehend transparent sein. Sie sollten jedoch sicherstellen, dass keine internen Links ab "http" fest codiert sind, da sie den Benutzer dann (möglicherweise) aus der verschlüsselten Transaktion entfernen. Selbst wenn dies nicht der Fall ist, werden diese Links möglicherweise eine Sicherheitswarnung auslösen, wenn sie sich auf eingebettete Bilder usw. beziehen.

Es ist möglich, HTTP- und HTTPS-Zugriff gleichzeitig auf dieselbe Site zuzulassen. Dies ist ein Konfigurationsproblem des Webservers und nur für den Website-Code von Bedeutung, da Sie die Form der absoluten Links wie oben erwähnt berücksichtigen müssen. Es ist üblich, dass Websites einen Teil davon über HTTP haben und dann HTTPS für andere Pars benötigen (z. B. Anmelden usw.).

Zusammenfassend ist dies fast ausschließlich ein Problem mit der Serverkonfiguration, und Sie sollten sich keine Sorgen machen müssen, abgesehen von relativen Links.

5
Kris

/etc/rc.d/init.d/iptables

in diesem füge dir diese Zeile hinzu

-Eine RH-Firewall-1-EINGABE -p TCP -m Status --Zustand NEU -m TCP --dport 443 -j AKZEPTIEREN

0
rohan