Https https වෙත හරවා යැවීම නරකද?

249

මම මගේ සේවාදායකයේ SSL සහතිකයක් ස්ථාපනය කළෙමි.

එය පසුව වරාය 80 හි මගේ වසමේ සියලුම ගමනාගමනය සඳහා යළි-යොමුවීමක් සකසා එය වරාය 443 වෙත හරවා යැවීය.

වෙනත් වචන වලින් කිවහොත්, මගේ සියලු http://example.comගමනාගමනය දැන් https://example.comපිටුවේ සුදුසු අනුවාදය වෙත හරවා යවනු ලැබේ .

යළි-යොමුවීම මගේ Apache අතථ්‍ය ධාරක ගොනුවේ මේ වගේ දෙයක් සමඟ කර ඇත ...

RewriteEngine on
ReWriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R,L]

මගේ ප්‍රශ්නය නම්, එස්එස්එල් භාවිතා කිරීමේ අඩුපාඩු තිබේද?

මෙය 301 යළි-යොමුවීමක් නොවන බැවින්, මාරුවීමෙන් සෙවුම් යන්ත්‍රවල සම්බන්ධක යුෂ / ශ්‍රේණිගත කිරීම මට අහිමි httpsවේද?

මම උදව් අගය කරනවා. මට සෑම විටම සේවාදායකයක් මත එස්එස්එල් සැකසීමට අවශ්‍ය වී ඇත්තේ එය සිදු කිරීමේ පුහුණුව සඳහා පමණක් වන අතර අවසානයේ මම එය අද රාත්‍රියේ කිරීමට තීරණය කළෙමි. එය මෙතෙක් හොඳින් ක්‍රියාත්මක වන බව පෙනේ, නමුත් සෑම පිටුවකම මෙය භාවිතා කිරීම හොඳ අදහසක් දැයි මට විශ්වාස නැත. මගේ වෙබ් අඩවිය ඊ-වාණිජ්‍යය නොවන අතර සංවේදී දත්ත හසුරුවන්නේ නැත; එය ප්‍රධාන වශයෙන් පෙනුම සඳහා වන අතර ඉගෙනීම සඳහා එය ස්ථාපනය කිරීමේ සතුට.

යාවත්කාලීන කළ ප්‍රශ්නය

පුදුම සහගත ලෙස බිං මෙම තිර රුව මගේ වෙබ් අඩවියෙන් නිර්මාණය කරයි, එය දැන් සෑම තැනකම HTTPS භාවිතා කරයි ...

රූප විස්තරය මෙහි ඇතුළත් කරන්න

— ජේසන් ඩේවිස්
source

12

[WTF - මට පිළිතුරක් එක් කළ නොහැක (මට ප්‍රමාණවත් නියෝජිතයෙකු සිටින බවක් පෙනෙන්නට තිබුණද).] මගේ පිළිතුර (අර්ධ වශයෙන්) සමහර විට එය නරකයි . HTTP හරහා GET එකක COOKIE හෝ API යතුරක් යැවීම සලකා බලන්න. ඔබේ වෙබ් අඩවිය HTTP ඉල්ලීම් HTTPS ඉල්ලීම් වෙත හරවා යවන්නේ නම්, මෙම ඇමතුම් ක්‍රියාත්මක වනු ඇත, නමුත් COOKIE හෝ API යතුර පැහැදිලිව නිරාවරණය වන පරිදි සම්ප්‍රේෂණය වේ. සමහර ඒපීඅයි මගින් එච්ටීටීපී අක්‍රිය කරයි, වඩා ශක්තිමත් ප්‍රවේශයකි - එච්ටීටීපී කිසිසේත්ම නැත, එබැවින් ඔබ එච්ටීටීපීඑස් භාවිතා නොකරන්නේ නම් එය ක්‍රියාත්මක කිරීමට පවා නොහැකිය. උදාහරණය: "සියලුම API ඉල්ලීම් HTTPS හරහා කළ යුතුය. සරල HTTP හරහා කළ ඇමතුම් අසාර්ථක වනු ඇත" stripe.com/docs/api?lang=php#authentication

— codingoutloud

8

odcodingoutloud - විකල්පය නම් HTTP හරහා කිසිවක් සිදු නොවීම HTTP හරහාය . එය වඩා හොඳ වන්නේ කෙසේද?

— මාර්ක් හෙන්ඩර්සන්

3

@BenCrowell බව ගේ නිසා වහල්කමට බිහිදොර මෙන් දිස්වන හෙටයි ගොඩක් sslstrip-style යළි-යොමුවීම් ප්රහාරය (මේ දෙකෙන්ම මිනිසා-in-the-මැද ඉල්ලීම hijacks ඉන්නේ) එසේ HSTS බ්රව්සර ඔවුන් දෙකම අවහිර කරනු ඇත -aware.

— ජෙෆ්රි හැන්ටින්

3

භාවිතා උදා: බර jQuery - https භාවිතා ඔබ ද https විය යුතු හෝ එය පූරණය කළ හැකි ඇතුළත් හැම දෙයක්ම බව දැනුවත් විය src="://example.com/jquery.js"සටහනක් නොමැති - httpහෝ httpsබ්රව්සරය මඟින් ළාබාල පෙනුමක් සුදුසු එක් එසේ. ඒපීඅයි (https හරහා පටවන ලද) http සබැඳි නිපදවූ බැවින් කාවැද්දූ ඇමේසන් දේවල් නිසි ලෙස පැටවීමට මට බියකරු සිහිනයක් තිබුණි - එයින් අදහස් වන්නේ https සබැඳි ටොගල් කිරීම සඳහා ලේඛනගත නොකළ පරාමිතිය සොයා ගන්නා තෙක් ඒවා නිසි ලෙස ක්‍රියාත්මක නොවූ බවයි

— මූලික

3

ජේසන්; ඔබගේ යාවත්කාලීනය නව ප්‍රශ්නයක් විය යුතුය, බොහෝ විට වෙබ්මාස්ටර්වරුන්ට එය ඔබගේ මුල් ප්‍රශ්නයට සම්බන්ධ නැති (තාක්‍ෂණිකව) විය හැකිය. නමුත් බොහෝ විට ඔබගේ ස්ටයිල් ෂීට් පැමිණෙන්නේ අනාරක්ෂිත වසමකින් විය හැකිය.

— මාර්ක් හෙන්ඩර්සන්

318

මෙම [R]තමන්ගේ ම ධජය යනු 302හරවා යැවීමේ ( Moved Temporarily). ඔබේ වෙබ් අඩවියේ HTTPS අනුවාදය භාවිතා කිරීමට ඔබට සැබවින්ම අවශ්‍ය නම් (ඉඟිය: ඔබ එසේ කරයි), ඔබ [R=301]ස්ථිර යළි-යොමුවීමක් සඳහා භාවිතා කළ යුතුය :

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R=301,L]

A 301ඔබගේ ගූගල්-ෆු සහ වෙහෙස මහන්සියෙන් උපයාගත් පිටු සලකුණු නොවෙනස්ව තබා ගනී . mod_rewriteසක්‍රීය කර ඇති බවට වග බලා ගන්න :

a2enmod rewrite

ඔබේ නිශ්චිත ප්‍රශ්නයට පිළිතුරු දීමට:

Https https වෙත හරවා යැවීම නරකද?

නිරය නැත. එය ඉතා හොඳයි.

— මාර්ක් හෙන්ඩර්සන්
source

3

තොරතුරු වලට ස්තූතියි, මගේ ලොක්කා මට කියන්නේ ඔහු තම වෙබ් අඩවියේ ඇතැම් පිටුවල https පමණක් ධාවනය කිරීමට හේතුව, එය සෑම පිටුවකම ක්‍රියාත්මක කිරීමට තවත් බොහෝ සේවාදායක සම්පත් භාවිතා කිරීමයි. ඔබ ඒ ගැන කිසිවක් දන්නවාද?

— ජේසන් ඩේවිස්

9

asjasondavis ඔබ එය ප්‍රශස්තිකරණය කිරීමට මිනිත්තු කිහිපයක් ගත නොකළහොත් පමණි .

— මයිකල් හැම්ප්ටන්

10

"එය සෑම පිටුවකම ක්‍රියාත්මක කිරීම සඳහා තවත් බොහෝ සේවාදායක සම්පත් භාවිතා කරයි." නවීන CPU වල සංකේතාංකන ත්වරණය කිරීමේ ලක්ෂණ ඇති අතර එමඟින් SSL පාහේ නිදහස් වේ. පොදු කාර්ය ගැන කරදර නොවන්න.

— ඇඩම් ඩේවිස්

41

D ඇඩම් ඩේවිස් ක්‍රිප්ටෝ ඇල්ගොරිතම සැහැල්ලු විය හැකි නමුත් අතට අත දීම තවමත් පවතී. එසේම, HTTPS ඔබේ අන්තර්ගතය හැඹිලි කිරීමෙන් HTTP ප්‍රොක්සි වළක්වයි. දී බොහෝ අවස්ථාවල, HTTPS වන පොදු කාර්ය අවම පෑවෙමි, නමුත් අධික ලෙස generalizing ගැන කල්පනාකාරී විය යුතුයි.

— 200_ සාර්ථකත්වය

6

එය හවුල් හැඹිලි විනාශ කරන අතර එය සමහර වෙබ් අඩවි භාවිතා කිරීමේ රටාවන් සඳහා ප්‍රයෝජනවත් වන අතර බොහෝ විට සුළු ප්‍රමාණයක් ආරක්ෂා කරයි (ඔබ වෙබ් අඩවියට පිවිසි බව මිනිසුන්ට දැන ගැනීම වැදගත්ය, නමුත් ඔබ කළ දේ පිළිබඳ විස්තර නොවේද? SSL ප්‍රයෝජනවත් වන එකම අවස්ථාව එයයි). සෑම සම්පතක් තුළම එස්එස්එල් හි ඇති ප්‍රධාන වාසිය නම් ඔබට “සුරක්ෂිතව” සිටීම අවශ්‍ය නොවේ. උදා: “අප ගැන” බලන පුද්ගලයින්, නමුත් ඔබට ලිස්සා යා නොහැකි අතර ඔබට අවශ්‍ය අවස්ථාවන්හිදී එය භාවිතා කිරීමට අපොහොසත් වේ.

— ජෝන් හැනා

49

එස්එස්එල් පමණක් අඩවි පිළිබඳ අදහසට මා සහාය දෙන අතරම, ඔබේ අඩවි සැලසුම අනුව එක් අඩුපාඩුවක් පොදු කාර්යයක් බව මම කියමි. උදාහරණයක් ලෙස මම අදහස් කරන්නේ ඔබ තනි රූප විශාල ප්‍රමාණයක් img ටැග් වල සේවය කරන්නේ නම්, මෙය ඔබේ වෙබ් අඩවිය මන්දගාමී වීමට හේතු විය හැක. එස්එස්එල් පමණක් සේවාදායකයන් භාවිතා කරන ඕනෑම කෙනෙකුට පහත සඳහන් දෑ ක්‍රියාත්මක වන බවට වග බලා ගන්නැයි මම උපදෙස් දෙමි.

අභ්‍යන්තර සබැඳි සඳහා මුළු වෙබ් අඩවියම පරීක්ෂා කර බලා ඔබ ඔබේම ඩොමේන් නාමයක් සබැඳිවලින් සඳහන් කරන්නේ නම් ඒවා සියල්ලම HTTPS භාවිතා කරන බවට සහතික වන්න, එවිට ඔබ ඔබේම යළි-යොමුවීම් ඇති නොකරයි.
<meta property="og:url"ඔබගේ වසමේ https අනුවාදය භාවිතා කිරීමට ඔබගේ යාවත්කාලීන කරන්න .
ඔබ <base href=නැවත භාවිතා කරන්නේ නම් HTTPS භාවිතා කිරීමට යාවත්කාලීන කරන්න.
හැකි නම් SPDY ප්‍රොටෝකෝලය ස්ථාපනය කරන්න
ඉල්ලීම් ගණන අඩු කිරීම සඳහා හැකි සෑම විටම CSS රූප ස්ප්රීතු භාවිතා කිරීමට වග බලා ගන්න.
Https තත්ත්වය දැක්වීමට ඔබේ අඩවි සිතියම් යාවත්කාලීන කරන්න, එබැවින් කාලයත් සමඟ මකුළුවන් මෙම වෙනස ඉගෙන ගනී.
HTTPS වලට වැඩි කැමැත්තක් දැක්වීම සඳහා ගූගල් වෙබ්මාස්ටර් මෙවලම් වැනි සෙවුම් යන්ත්‍ර මනාපයන් වෙනස් කරන්න
හැකි සෑම අවස්ථාවකදීම ඕනෑම ස්ථිතික මාධ්‍යයක් HTTPS CDN සේවාදායකයට පටවන්න.

ඉහත සඳහන් කරුණු ආමන්ත්‍රණය කරන්නේ නම්, ඔබට බොහෝ ගැටලු ඇති වේ යැයි මම සැක කරමි.

— TheBritishGeek
source

SPDY හොඳ යෝජනාවකි; Apache 2.x වෙත SPDY සහය එක් කරන මොඩියුලයක් පවා ඇති බව පෙනේ .

— කැල්රියන්

18

ඒ වෙනුවට "වල" //yourserver.com/some-uri "භාවිතා yourserver.com/some-uri " ෙයෝජනා ප්රශ්නය (1) බ්රව්සරය සුදුසු ක්රමානුරූපය (http හෝ https) ගලවලා නිසා ක්රමානුරූපය අනුව, මේ මගින්, පිටුව සමඟ පටවා ගත් .

— මෝගන්රා

1

A මෝගන්රා, ඇත්ත වශයෙන්ම, එය http ලිපි පිටුවේ සිට https පිවිසුම් පිටුවට සබැඳියක් වේ.

— Mołot

4

යමෙකු Refererශීර්ෂකය හරහා පිවිසෙන URL එක ගූගල් දකී . උදාහරණයක් ලෙස මෙම වෙබ් අඩවිය ගූගල් හි සීඩීඑන් වෙතින් jQuery භාවිතා කරන අතර මම වෙබ් අඩවිය නැවත පූරණය කරන සෑම අවස්ථාවකම මගේ බ්‍රව්සරය ගූගල් වෙත ඉල්ලීමක් යවයි. Refererඑමඟින් මෙම වෙබ් අඩවියේ URL වෙත සකසා ඇති ශීර්ෂයක් ගූගල් වෙත යවනු ලැබේ. එබැවින් මගේ IP ලිපිනය වෙනස් නොවන කාලය තුළ ගූගල් වෙත මා පිවිසෙන වෙබ් අඩවි නිරීක්ෂණය කළ හැකිය (තවද මෙම කාලය තුළ මම ගූගල් සේවාවක් භාවිතා කරන්නේ නම්, ගූගල් හට මෙම තොරතුරු මගේ ගූගල් ගිණුම සමඟ සම්බන්ධ කළ හැකිය).

— ස්ටෙෆාන් කුල්ලා

1

1 සඳහා) මම මගේ MySQL දත්ත ගබඩාවේ http සිට https වෙත සෙවීමක් කර ප්‍රතිස්ථාපනය කළෙමි ... මම වර්ඩ්ප්‍රෙස් භාවිතා කරමි, එම නිසා සබැඳි සිය ගණනක් යාවත්කාලීන කිරීම පහසු කරවයි

— ජේසන් ඩේවිස්

37

මම ඔබ https සකසා ඇති අතර ඔබ එය වෙබ් අඩවියේ සෑම තැනකම භාවිතා කළ යුතුය. මිශ්‍ර අන්තර්ගත ගැටළු ඇතිවීමේ අවදානම ඔබ මග හරිනු ඇති අතර ඔබට අවශ්‍ය මෙවලම් තිබේ නම්, මුළු වෙබ් අඩවියම ආරක්ෂිත නොකරන්නේ මන්ද?

Http සිට https දක්වා හරවා යැවීම සම්බන්ධයෙන් පිළිතුර එතරම් සරල නැත.

නැවත හරවා යැවීම ඔබගේ පරිශීලකයින්ට පහසු කරයි, ඔවුන් whateversite.com ටයිප් කර https වෙත හරවා යවනු ලැබේ.

එහෙත්. පරිශීලකයා සමහර විට අනාරක්ෂිත ජාලයක සිටී නම් (හෝ ට්‍රෝයි හන්ට් සහ ඔහුගේ අන්නාසි වලට සමීප නම් ) කුමක් කළ යුතුද? එවිට පරිශීලකයා පැරණි පුරුද්දෙන් http://whateversite.com වෙතින් ඉල්ලීමක් කරනු ඇත . ඒ http. එය සම්මුතියකට ලක් කළ හැකිය. යළි- යොමුවීම https://whateversite.com.some.infrastructure.long.strange.url.hacker.org වෙත යොමු කළ හැකිය . සාමාන්‍ය පරිශීලකයෙකුට එය තරමක් නීත්‍යානුකූල බව පෙනේ. නමුත් ගමනාගමනය බාධා කළ හැකිය.

එබැවින් අපට මෙහි තරඟකාරී අවශ්‍යතා දෙකක් තිබේ: පරිශීලක හිතකාමී වීමට සහ සුරක්ෂිතව සිටීමට. වාසනාවකට මෙන්, HSTS ශීර්ෂය නමින් පිළියමක් තිබේ . එය සමඟ ඔබට යළි-යොමුවීම සක්‍රීය කළ හැකිය. බ්‍රව්සරය ආරක්ෂිත වෙබ් අඩවිය වෙත ගෙන යනු ඇත, නමුත් HSTS ශීර්ෂයට ස්තූතියි එය මතක තබා ගන්න. පරිශීලකයා එම අනාරක්ෂිත ජාලයේ වාඩි වී සිටින whateversite.com හි ටයිප් කරන විට, බ්‍රව්සරය http හරහා යළි-යොමුවීම හරහා නොගෙන වහාම https වෙත යනු ඇත. ඔබ ඉතා සංවේදී දත්ත සමඟ ගනුදෙනු නොකරන්නේ නම්, එය බොහෝ වෙබ් අඩවි සඳහා ආරක්ෂාව සහ භාවිතාව අතර සාධාරණ වෙළඳාමක් යැයි මම සිතමි. (මම මෑතකදී වෛද්‍ය වාර්තා හසුරුවන යෙදුමක් සැකසූ විට මම යළි හරවා යැවීමකින් තොරව https වෙත ගියෙමි). අවාසනාවකට ඉන්ටර්නෙට් එක්ස්ප්ලෝරර්ට HSTS ( ප්‍රභවය) සඳහා සහය නොමැත), එබැවින් ඔබේ ඉලක්කගත ප්‍රේක්ෂකයින් වැඩි වශයෙන් IE භාවිතා කරන්නේ නම් සහ දත්ත සංවේදී නම් ඔබට යළි-යොමුවීම් අක්‍රිය කිරීමට අවශ්‍ය වනු ඇත.

එබැවින් ඔබ IE භාවිතා කරන්නන් ඉලක්ක නොකරන්නේ නම්, ඉදිරියට ගොස් යළි-යොමුවීම් භාවිතා කරන්න, නමුත් HSTS ශීර්ෂයද සක්‍රීය කරන්න.

— ඇන්ඩර්ස් ආබෙල්
source

වැඩි පිරිසක් මේ පිළිබඳව ද අවධානය යොමු කළ යුතුය. තවත් දෙයක් නම්, GETs හෝ POST වලින් පිටුවට යවන සියලුම තොරතුරු සරල පා in වල ඇති බව නොසලකා හරිමින් අවසාන ලක්ෂ්‍යය HTTPS නිසා මිනිසුන් සුරක්ෂිත යැයි උපකල්පනය කිරීමයි.

— Velox

3

ElVelox - “මිනිසුන් ආරක්ෂිත යැයි උපකල්පනය කරන්නේ අවසාන ලක්ෂ්‍යය HTTPS නිසා, GETs හෝ POST වලින් පිටුවට යවන සියලුම තොරතුරු සරල පා text යක් යන කාරණය නොසලකා හැරීම” යන්නෙන් ගම්‍ය වේ. සමහර ගොචා ඇති අතර, GET විමසුම් පරාමිතීන් HTTPS හරහා ප්‍රවාහනය කිරීමේදී පැහැදිලිව ගමන් නොකරයි. උදාහරණයක් ලෙස බලන්න: stackoverflow.com/questions/323200/… POST ගෙවීම් ද ආරක්‍ෂා කර ඇති අතර, ලොග් වීම සහ යොමු කිරීමේ ශීර්ෂයන්ටද ගොදුරු නොවේ.

— codingoutloud

@codingoutloud ඒක තමයි මගේ අදහස. HTTPS හරහා ඒවා සංකේතනය කර ඇත, නමුත් HTTP පිටුවට ආරම්භක ඉල්ලීමේදී ඒවා එසේ නොවීය.

— Velox

1

ElVelox - මුළු වෙබ් අඩවියම HTTPS වෙත හරවා යවනු ලැබුවහොත්, HTTPS ආරම්භ වීමට පෙර GET පරාමිතීන් යවනු ඇතැයි සිතිය නොහැක (තවද සෑම දෙයක්ම HTTPS රැඳී පවතිනු ඇත). කුකීස් යවන එක් ආරම්භක ඉල්ලීමක් තවමත් තිබේ, එය HSTS සමඟ පිළියම් කළ හැකිය ... සහ SSLStrip සඳහා කුඩා ප්‍රහාරක කවුළුවක්, එය ජාවාස්ක්‍රිප්ට් විසින් පරාජය කළ හැකි නමුත් එය තමන්ගේම ආයුධ තරඟයකි.

— බ්‍රිලියන්ඩ්

R බ්‍රිලියන්ඩ් ෆෙයාර් පොයින්ට්, නමුත් ආරක්‍ෂාවේ දුර්වල ස්ථානයක් නිසා සියල්ල දුර්වල වේ. සලකා බැලීම සැමවිටම වටී.

— Velox

21

මෙහි කිසිදු වරදක් නොමැති අතර ඇත්ත වශයෙන්ම එය හොඳම පුහුණුවයි ( ආරක්ෂිත සම්බන්ධතාවයක් හරහා සේවය කළ යුතු අඩවි සඳහා ). ඇත්ත වශයෙන්ම, ඔබ කරන දෙය මා භාවිතා කරන වින්‍යාසයට බෙහෙවින් සමාන ය:

<VirtualHost 10.2.3.40:80>
  ServerAdmin me@example.com
  ServerName secure.example.com
  RedirectMatch 301 (.*) https://secure.example.com$1
</VirtualHost>

# Insert 10.2.3.40:443 virtual host here :)

මෙම 301තත්ත්වය කේතය පෙන්නුම් ස්ථිර අනාගත සම්බන්ධතා සඳහා ආරක්ෂිත URL එක භාවිතා කිරීමට (උදා: පිටු සලකුණු කිරීම යාවත්කාලීන) සමත් ගනුදෙනුකරුවන් උපදෙස්, යළි-යොමුවීම්.

ඔබ වෙබ් අඩවියට සේවය කරන්නේ ටීඑල්එස් / එස්එස්එල් හරහා පමණක් නම්, ඔබේ ආරක්ෂිත අතථ්‍ය ධාරකයේ HTTP දැඩි ප්‍රවාහන ආරක්ෂාව (HSTS) සක්‍රීය කිරීම සඳහා තවත් නියෝගයක් නිර්දේශ කරමි :

<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=1234; includeSubdomains"
</IfModule>

මෙම ශීර්ෂකය දක්ෂ සේවාදායකයින්ට උපදෙස් දෙයි (ඔවුන්ගෙන් බොහෝ දෙනෙක් මේ දිනවල, මම විශ්වාස කරන්නේ ඔවුන් ලබා දී ඇති වසම සමඟ පමණක් HTTPS භාවිතා කළ යුතු බවයි ( secure.example.comමේ අවස්ථාවේ දී) ඊළඟ 1234තත්පර සඳහා. මෙම ; includeSubdomainsකොටස අණුවක් නම් වේ විකල්ප සහ උපදෙස් පමණක් වත්මන් වසම නොවේ අදාළ වන බව නොව, ඒ යටතේ ඕනෑම (උදා: පෙන්නුම් alpha.secure.example.com). HSTS ශීර්ෂය බ්රවුසර මගින් පිළිගනු ලබන්නේ SSL / TLS සම්බන්ධතාවයක් හරහා සේවය කරන විට පමණක් බව සලකන්න !

වර්තමාන හොඳම භාවිතයට එරෙහිව ඔබේ සේවාදායක වින්‍යාසය පරීක්ෂා කිරීම සඳහා, හොඳ නිදහස් සම්පතක් වන්නේ ක්වාලිස්ගේ SSL සේවාදායක පරීක්ෂණ සේවාවයි; මම අවම වශයෙන් A- ලකුණු ලබා ගැනීම අරමුණු කර ගෙන සිටිමි. (ඉලිප්සාකාර වක්‍ර ගුප්ත විද්‍යාව සඳහා සහය නොලැබීම නිසා ඔබට Apache 2.2 ට වඩා වැඩි ප්‍රමාණයක් ලබා ගත නොහැක).

— කැල්රියන්
source

මම එකතු කළ යුතුයි, ශීර්ෂකය යැවීමෙන් Strict-Transport-Security: max-age=0පෙර පැවති නියෝගයක් ප්‍රතික්ෂේප වනු ඇත; සෑම විටම පරිදි, මෙම යුතුය අනුමත කිරීමට නියමිත HTTPS යැවිය, නමුත් ඔබට ඔබ ද වසමේ HTTP භාවිතා කිරීමට අවශ්ය තීරණය කරනවා නම් එය දේවල් අවලංගු ක පහසු කරවන්නක් වේ.

— කැල්රියන්

5

වාව් ! HTTP HTTPS වෙත හරවා යැවීම ඉතා හොඳ දෙයක් වන අතර ඒ සඳහා කිසිදු අඩුපාඩුවක් මට නොපෙනේ.

බ්‍රව්සරයේ සහතිකය පිළිබඳ පරිශීලක-හිතකාමී නොවන අනතුරු ඇඟවීම් වළක්වා ගැනීමට ඔබේ ගනුදෙනුකරුවන්ට නිවැරදි CA ඇති බවට වග බලා ගන්න.

ඊට අමතරව, ඔබ HTTPS වෙත හරවා යැවීම සඳහා Apache සැකසූ ආකාරය හරි.

— krisFR
source

5

Https https වෙත හරවා යැවීම නරකද?

නැත, කොහෙත්ම නැත. ඇත්තටම ඒක හොඳ දෙයක්!

යළි-යොමුවීම් මත:

නැවත ලිවීම සම්පූර්ණයෙන්ම ඉවත් කිරීමෙන් එය වඩාත් කාර්යක්ෂම විය හැකිය . මෙන්න මගේ වින්‍යාසය සමාන තත්වයක් මත ...

<VirtualHost *:80>
  ServerName domainname.com

  <IfModule mod_alias.c>
    Redirect permanent / https://domainname.com/
  </IfModule>
</VirtualHost>

— පොති කාලිමුත්
source

4

HTTPS හරියටම මෝඩකමක් නොවේ. ඇත්ත වශයෙන්ම, සාමාන්‍යයෙන් HTTPS බල කිරීම හොඳ දෙයකි. එය සාමාන්‍ය අපරාධකරුවන්ට ඔබේ පරිශීලකයින්ට නරක දෙයක් කිරීම වළක්වයි.

නමුත් SSLCiphers සැකසුම වැනි SSL සැකසුම් ඔබ පරීක්ෂා කිරීමට කරුණාකර මතක තබා ගන්න. RC4 crypto, SSLv2 සහ SSLv3 ප්‍රොටෝකෝලය වැනි දෑ අක්‍රීය කරන්න. තවද, ඔබේ පද්ධතියේ ගුප්ත-පද්ධති ලිබරීස් TLS1.2 සඳහා සහය දක්වයිද යන්න ඔබ සොයා ගත යුතුය (ඔබට අවශ්‍ය වන්නේ එයයි;))

එස්එස්එල් සක්‍රිය කරන්න, එය හොඳ දෙයකි.

— ටොබියාස් මාඩෙල්
source

එන්ට්‍රොපි භාවිතයට නොගනී ( අවම වශයෙන් ඔබ වොඩූ කරනවාට වඩා පෘථිවිය මත පදනම් වූ ප්‍රහාරකයන්ට එරෙහිව ආරක්ෂා කරන්නේ නම් ). එක්කෝ ඔබ ප්‍රමාණවත් නොවන එන්ට්‍රොපියකින් ආරම්භ කළ හැකි අතර ඔබට අහඹු ලෙස අවශ්‍ය කිසිවක් කළ නොහැක, නැතහොත් ප්‍රමාණවත් එන්ට්‍රොපියකින් ආරම්භ කළ හැකිය, ඔබ කොතරම් අහඹු ලෙස උත්පාදනය කළත් ප්‍රමාණවත් එන්ට්‍රොපිය තබා ගනී.

— ගිලෙස්ගේ SO- නපුරු වීම නවත්වන්න '

සමාවෙන්න, කුමක්ද ? පීආර්එන්ජී මත පදනම් වූ බොහෝ විට හොඳ ප්‍රමාණයේ එන්ට්‍රොපියට වඩා දෘඩාංග වලින් ලබාගත් ශක්තිමත් එන්ට්‍රොපිය සඳහා ලිනක්ස් හි මෙහෙයුම් ගණනාවක් ඇති අතර තටාකයේ ගැඹුර අඩු නම් ඒවා අවහිර කළ හැකිය. ලිනක්ස් පද්ධතියක ප්‍රමාණවත් එන්ට්‍රොපියකින් ආරම්භ කිරීම නිසැකවම කළ හැකි නමුත්, තටාකය ඉවතට ගැනීම සඳහා අධික ලෙස භාවිතා කිරීමෙන් සමහර මෙහෙයුම් අවහිර වේ.

— මැඩ්හැටර්

3

පුද්ගලිකව මම සියල්ලන්ම වෙබයේ සම්බන්ධතා සුරක්ෂිත කිරීම සඳහා එස්එස්එල් භාවිතා කිරීම සඳහා වෙමි, කෙසේ වෙතත් මෙහි අනෙක් සියලුම පිළිතුරු මග හැරී ඇති බව මට හැඟේ. එච්ටීටීපී සම්බන්ධතාවයකට හැකියාව ඇති සෑම උපාංගයක්ම සහ මෘදුකාංගයක්ම එස්එස්එල් භාවිතා කිරීමට නොහැකි වනු ඇත. එබැවින් පරිශීලකයින්ට එය සහාය නොදක්වන්නේ නම් එය වළක්වා ගැනීමට යම් ක්‍රමයක් සැපයීම මම සලකා බලමි. සංකේතාංකන තාක්‍ෂණය නීති විරෝධී වන සමහර රටවල පුද්ගලයින්ට ඔබේ වෙබ් අඩවියට පිවිසීමට ඉඩ නොදෙනු ඇත. වෙබ් අඩවියේ අනාරක්ෂිත අනුවාදයට බල කිරීම සඳහා සබැඳියක් සමඟ සංකේතාංකනය නොකළ ගොඩබෑමේ පිටුවක් එක් කිරීම ගැන මම සලකා බලමි, නමුත් පරිශීලකයෙකු ඔබ පැවසූ පරිදි එසේ කිරීමට තෝරාගෙන ඒවා HTTPS අනුවාදයට යොමු නොකරන්නේ නම් පමණි.

— වලංගුභාවය
source

නිසි ලෙස වෙන් කර තිබුණද, සරල HTTP ගොඩබෑමේ පිටුවක් තිබීම වැනි විසඳුම් පිළිබඳ ගැටළුවක් නම්, මෙම පිටුව හැසිරවීමට විවෘතව තිබීමයි. එනම්, වෙබ් අඩවියේ HTTPS අනුවාදය සඳහා සබැඳිය අමුත්තන්ට නොවෙනස්ව පවතින බවට කිසිදු සහතිකයක් නොමැත.

— හොකන් ලින්ඩ්ක්විස්ට්

3

පුළුල් බුරුසු පහර ගැටළු කිහිපයක් මෙන්න:

MITM / SSLSTRIP : මෙය විශාල අවවාදයකි . ඔබ ඔබේ වෙබ් අඩවිය HTTPS හරහා සේවය කිරීමට යන්නේ නම් , වෙබ් අඩවියේ HTTP අක්‍රීය කරන්න . එසේ නොමැතිනම්, ඔබ ඔබේ පරිශීලකයින්ට SSLSTRIP ඇතුළු විවිධ මිනිසුන් අතරමැදි ප්‍රහාර සඳහා විවෘතව තබන අතර එමඟින් ඉල්ලීම් වලට බාධා වන අතර නිහ ly ව HTTP හරහා සේවය කරනු ඇත, ඔවුන්ගේම අනිෂ්ට මෘදුකාංග ස්ක්‍රිප්ට් ධාරාවට ඇතුල් කරයි. පරිශීලකයා නොදැනුවත්ව නම්, ඔවුන් සිතන්නේ ඔවුන්ගේ සැසිය සැබවින්ම නොමැති විට එය ආරක්ෂිත බවයි.
- මෙහි ඇති ගැටළුව නම්, ඔබේ වෙබ් අඩවිය පොදු වෙබ් අඩවියක් වන අතර ඔබ නොදැනුවත්වම HTTP අක්‍රීය කළහොත් ඔබට බොහෝ අමුත්තන් අහිමි විය හැකිය. එය බොහෝ විට පවා නැත සිදු අඩවියේ HTTP සමග පූරණය නැහැ නම් HTTPS උත්සාහ කිරීමට ඔවුන්ට.
ඔබේ වෙබ් අඩවියට ආරක්ෂිත පිවිසුමක් අවශ්‍ය නම්, මුළු පරිශීලක සැසියම සුරක්ෂිත කළ යුතුය. HTTPS හරහා සත්‍යාපනය නොකරන්න, පසුව පරිශීලකයා HTTP වෙත හරවා යවන්න. ඔබ එසේ කළහොත්, නැවතත්, ඔබ ඔබේ පරිශීලකයින් MITM ප්‍රහාරයන්ට ගොදුරු විය හැකිය. මේ දිනවල සත්‍යාපනය සඳහා සම්මත ප්‍රවේශය වන්නේ එක් වරක් සත්‍යාපනය කිරීම, පසුව සත්‍යාපන ටෝකනයක් පසුපසට සහ පසුපසට යැවීම (කුකියක). නමුත් ඔබ HTTPS හරහා සත්‍යාපනය කර HTTP වෙත හරවා යැවුවහොත්, මැදපෙළ මිනිසෙකුට එම කුකියට බාධා කළ හැකි අතර ඔබේ ආරක්ෂාව මඟ හරිමින් ඔවුන් ඔබේ සත්‍යාපිත පරිශීලකයා ලෙස වෙබ් අඩවිය භාවිතා කළ හැකිය.
HTTPS සමඟ ඇති “කාර්ය සාධනය” ගැටළු නව සම්බන්ධතාවයක් නිර්මාණය කිරීම සඳහා වන අත් හුවමාරුවට පමණක් සීමා වූ සියලුම ප්‍රායෝගික අරමුණු සඳහා වේ. URL එකකින් බහු HTTPS සම්බන්ධතා අවශ්‍යතාවය අවම කිරීම සඳහා ඔබට කළ හැකි දේ කරන්න, එවිට ඔබ සැතපුම් ගණනක් ඉදිරියෙන් සිටියි. ඔබ HTTP හරහා ඔබේ අන්තර්ගතයට සේවය කළත් එය සත්‍යයකි. ඔබ SPDY හි කියවන්නේ නම්, එය කරන සෑම දෙයක්ම එකම URL එකකින් සියලුම සම්බන්ධතා එකම සම්බන්ධතාවයක් හරහා සේවය කිරීමට උත්සාහ කිරීම කෙරෙහි නැඹුරු වී ඇති බව ඔබට වැටහෙනු ඇත. ඔව්, HTTPS භාවිතා කිරීම හැඹිලි වලට බලපායි. කෙසේ වෙතත්, මේ දිනවල වෙබ් අඩවි කීයක් ස්ථිතික, හැඹිලි කළ හැකි අන්තර්ගතයක් ද? අතිරික්ත දත්ත සමුදා විමසීම් අවම කිරීම සඳහා ඔබේ වෙබ් සේවාදායකයේ හැඹිලි භාවිතයෙන් ඔබේ මුදල් සඳහා වැඩි වේගයක් ලැබෙනු ඇත. වෙනස් නොවන දත්ත නැවත නැවතත් ලබා ගැනීම සහ මිල අධික කේත මාර්ග අවශ්‍ය ප්‍රමාණයට වඩා ක්‍රියාත්මක කිරීමෙන් වලක්වනු ඇත.

— ක්‍රේග්
source

ඇත්ත වශයෙන්ම sslstrip ඇමතීමට ඔබට කළ හැකි දෙය නම් HSTS භාවිතා කිරීමයි ( ඔබේ HSTS සැකසුම් පූර්ව පැටවීම වඩාත් සුදුසුය ). ඔබ සාමාන්‍ය HTTP හරහා ඉල්ලීම් පිළිගත්තත් නැතත් මේ සම්බන්ධයෙන් ඇත්ත වශයෙන්ම වැදගත් නැතත්, ඔබ HTTPS ඉල්ලීම් පමණක් පිළිගත්තද MITM ට සරල HTTP හරහා පිළිතුරු දිය හැකිය (සමහර විට ඔබේ HTTPS වෙබ් අඩවියට සමීපව).

— හොකන් ලින්ඩ්ක්විස්ට්

@ HåkanLindqvist මම ඇත්තටම ඔබෙන් අඩු ආදායමක් උපයා ගත්තාද? HTTPS හරහා සත්‍යාපනය නොකිරීම සම්බන්ධයෙන් මම නරක උපදෙස් හෝ හොඳ උපදෙස් ලබා දී ඉතිරි සැසිය සඳහා HTTP වෙත මාරුවීම ගැනද? HTTPS කාර්ය සාධන මිථ්‍යාවන් සම්බන්ධයෙන් මම නරක උපදෙස් ලබා දුන්නාද? එසේම, සේවාදායකයා මුලින් HTTPS භාවිතයෙන් සම්බන්ධ වීමට උත්සාහ කරන්නේ නම්, බ්‍රව්සරයේ අනතුරු ඇඟවීමක් නොකර MITM හට බාධා කර ප්‍රතිචාර දැක්විය නොහැක, මන්ද ඔවුන් සොරකම් කළ හෝ සාර්ථකව ව්‍යාජ සහතිකයක් නොමැති නම් ඔවුන්ගේ සහතිකය නොගැලපේ. අනෙක් අතට, වෙබ් අඩවිය HTTP සම්බන්ධතාවයක් පිළිගන්නේ නම්, ඇඟිලි ගැසීම පහසු වේ. කෙසේ හෝ HTTPS තීරුව මතු කරයි.

— ක්‍රේග්

ඇත්ත වශයෙන්ම මම HSTS භාවිතා කිරීමට මුළු හදින්ම එකඟ වෙමි.

— ක්‍රේග්

පිළිතුර සමඟ ඇති මගේ ගැටළුව නම් ලැයිස්තුවේ ඇති පළමු අයිතමය sslstrip ආමන්ත්‍රණය කරන බව කියා සිටින අතර එය ඇත්ත වශයෙන්ම නොමැති අතර (මිථ්‍යාවන් ගැන කථා කිරීම). මගේ ආරම්භක අදහස් දැක්වීමට මා උත්සාහ කළේ ඔබ සතුව සක්‍රීය MITM එකක් තිබේ නම් (ඔබට මුලින්ම sslstrip අවශ්‍ය වන්නේ එයයි), ප්‍රහාරකයාට සේවාදායකයාගේ දෘෂ්ටි කෝණයෙන් "වෙබ් අඩවිය" විය හැකිය; සේවාදායකයාගෙන් සරල HTTP සම්බන්ධතා භාර ගැනීමට ඔවුන්ට අවශ්‍ය දැයි තීරණය කරන්නේ ප්‍රහාරකයා ය, ඔබේ සැබෑ වෙබ් සේවාදායකයා ඒ සම්බන්ධයෙන් ක්‍රියා කරන්නේ කෙසේද යන්න ප්‍රහාරකයාට කළ හැකි හෝ කළ හැකි දේට බලපාන්නේ නැත.

— හොකන් ලින්ඩ්ක්විස්ට්

@ HåkanLindqvist නරඹන්නන් හිතාමතාම HTTPS සමග සම්බන්ධ වීමට උත්සාහ කරන්නේ නම්, එම ප්රහාරකයා එම ඉල්ලීම බ්රව්සරය කොඩි වීසි තොරව, ඔවුන් සේවාදායකය සහතිකය හෝ කෙසේ හෝ සාර්ථක ෆෝජ් එක් ඔවුන් සතුව ඇත කරන, සොරකම් කිරීමට සමත් වී තිබේ නම් මිස සම්පූර්ණ කර ගත නොහැකි බව හැර සම්බන්ධතාවය HTTP වෙත මාරු කිරීම සඳහා කරන්න. HTTPS තවමත් තීරුව මතු කරයි. ඇත්ත වශයෙන්ම නරඹන්නා HTTP හරහා ආරම්භක සම්බන්ධතා උත්සාහය දරන්නේ නම්, සියලු ඔට්ටු ඇල්ලීම සම්පූර්ණයෙන්ම අක්‍රීයයි.

— ක්‍රේග්

1

මෙය ඔබේ මුල් ප්‍රශ්නයට තාක්‍ෂණිකව පිළිතුරක් නොවේ, නමුත් ඔබ ගූගල් ක්‍රෝම් දිගුව HTTPSEverywhere භාවිතා කරන්නේ නම් (වෙනත් බ්‍රව්සර්වල සමාන දිගුවන් ඇති බව මට විශ්වාසයි), දිගුව ස්වයංක්‍රීයව HTTP සමඟ අඩවි HTTPS සමඟ එකම වෙබ් අඩවියකට හරවා යවයි. මම එය ටික කලක් භාවිතා කර ඇති අතර, මට කිසිදු ගැටළුවක් නොමැත (මන්දගාමී වීම හැර, නමුත් මම එය අත්හදා බලා නැත). HTTPSEverywhere සේවාදායකයේ සමහර නීති රීති මගින් වෙනස් කළ හැකිය, නමුත් මම එම ප්‍රදේශයේ වැඩි යමක් කර නොමැති බැවින් නිශ්චිත තොරතුරු ගැන මට විශ්වාස නැත.

ඔබේ සත්‍ය ප්‍රශ්නය වෙත ආපසු යාම, ඔබ HTTPSEverywhere වැනි දෙයක් භාවිතා කරන්නේ නම්, HTTP පමණක් භාවිතා කිරීමට ඊටත් වඩා අඩු දිරිගැන්වීමක් ඇත, නමුත් ඔබට අවශ්‍ය විටෙක නිවැරදි නීති සැකසීම අසීරු යැයි මම සිතමි.

— trysis
source

1

HTTP හරහා HTTPS වෙත ඇති එකම තාක්‍ෂණික දිනුම් ඇදීම නම් සරල HTTP වලට වඩා HTTPS ඉල්ලීම් ක්‍රියාවට නැංවීම පරිගණකමය වශයෙන් වඩා මිල අධික වීමයි.

කෙසේ වෙතත්, බොහෝ නවීන සේවාදායකයන්ට අධි බලැති සී.පී.යූ. ඇති බැවින් මෙම බලපෑම සාමාන්‍යයෙන් නොසැලකිලිමත් වන්නේ ඔබ ඉතා ඉහළ මට්ටමේ ගමනාගමනයක් නොමැති නම් පමණි.

එස්එස්ඩී / ටීඑල්එස් වැඩ කිරීමට අවශ්‍ය වන එස්පීඩීඅයි වැනි ප්‍රොටෝකෝලයන් පැමිණීමත් සමඟම, මෙය ඇත්ත වශයෙන්ම ඉහත සඳහන් කළ පරිගණකමය පොදු කාර්යයට ප්‍රතිවිරුද්ධව ක්‍රියා කරයි.

— anthonysomerset
source

HTTPS ක්‍රියාකාරීත්වයේ ඇති ගැටළුව නම්, නව සම්බන්ධතාවයක් ඇති කර ගැනීම වඩා මිල අධික වන්නේ වටකුරු චාරිකා වැඩි ප්‍රමාණයක් ඇති නිසාත්, අසමමිතික ගුප්තකේතනය / විකේතනය සමමිතික ගුප්තකේතනය / විකේතනයට වඩා මිල අධික වන බැවිනි. සම්බන්ධතා අත් හුවමාරුව හවුල් සමමිතික සංකේතාංකන යතුරක් ස්ථාපනය කළ පසු, දැනට පවතින පොදු කාර්යය පාහේ අදාළ නොවේ (ඉතා කුඩා). ඔබ SPDY හි කියවන්නේ නම්, එය කරන සියලුම විසිතුරු දේවල ඉලක්කය වන්නේ URL එකක ඇති සියලුම අන්තර්ගතයන් එකම සම්බන්ධතාවයක් හරහා සේවය කිරීම, සම්බන්ධතාවය අතට අත දීම අවම කිරීමයි.

— ක්‍රේග්

1

Https වෙත හරවා යැවීම ඉතා හොඳයි, නමුත් මම එය කියවා ඇත්තේ ඔබ යළි-යොමුවීම් සංවිධානය කරන්නේ කෙසේද යන්න මතය.

Security.stackexchange.com හි පිළිතුරෙහි යෝජනා කර ඇති පරිදි එන එන http ඉල්ලීම් ඔබගේ https සම්බන්ධතාවයට හරවා යැවීම සඳහා විශේෂිත අථත්‍ය සේවාදායකයක් සෑදීම ඉතා බුද්ධිමත් යැයි පෙනෙන අතර අමතර ආරක්ෂක තර්ජන කිහිපයක් වසා දමනු ඇත. අපාචේ හි වින්‍යාසය මේ වගේ දෙයක් වනු ඇත:

# Virtual host for rerouting
<VirtualHost *:80>
    ServerName www.example.com
    Redirect permanent / https://www.example.com/
</VirtualHost>

# Virtual host for secure hosting on https
<VirtualHost *:443>
    ServerName www.example.com
    SSLEngine on
    Header set Strict-Transport-Security "max-age=8640000;includeSubdomains"

    ...site settings...

</VirtualHost>

— මැලවීම
source