Есть ли какие-либо хорошие учебные руководства новичка для использования SSL с Вашим веб-приложением?
Мне записали программу в PHP, и я хотел бы удостовериться, что страницы входа в систему и т.д. все подаются по SSL. Там какое-либо хорошее начало должно закончить учебное руководство для того, чтобы сделать так?
Кроме того, это влияет на мой код всегда, или это - просто вопрос получения сертификата SSL и установки сервер правильно?
3 ответа
Если ваш html-код содержит абсолютные URL-адреса (« http: // my-domain.com / ...») на:
- таблицы стилей
- изображений
- javascripts
Браузеры будут жаловаться: «Эта страница содержит как защищенные, так и незащищенные элементы».
Используйте относительные URL-адреса, если можете, или ссылку на URL-адреса " https: // my-domain.com / ...".
Используйте бесплатные сертификаты
Вам не нужно тратить деньги, чтобы получить действующий сертификат SSL:
Let's Encrypt
Let's Encrypt - это бесплатный, автоматизированный и открытый центр сертификации.
Это зависит от хостинга, насколько легко это настроить, это может быть просто флажок.
Этот процесс хорошо документирован на https://letsencrypt.org/
StartSSL
Для более традиционных сертификатов вы можете получить «StartSSL ™ Free» от StartCom .
На сайте также есть информация об установке сертификата.
Сначала небольшое предупреждение. если вы подумываете об использовании SSL, это потому, что вам есть что защищать. Поэтому найдите время, чтобы понять, что вы делаете на каждом этапе пути. Безопасность (не только SSL) - минное поле даже для опытных.
Я не знаю никаких руководств, но есть много подводных камней, о которых вам нужно знать.
Прокат вашего собственного ssl-сертификата в целях тестирования - это бесплатно, но вам нужно будет установить его на свой сервер.
В большинстве случаев ваш код не должен отличаться для ssl-страницы или не ssl, поскольку сам код не зависит от ssl, но, как говорит Боб, вы должны быть осторожны с такими вещами, как изображения.
Также перенаправления могут вызывать всплывающие окна, предупреждающие пользователя о перенаправлениях.
Чтобы проверить, вызывается ли код из браузера с использованием SSL, проверьте флаг SSL $ _SERVER ['HTTPS'], это должно быть непустое значение, если используется SSL.
$ssl_is_on = $_SERVER['HTTPS'] ? true:false;
Лично я предпочитаю хранить свой SSL-код в отдельной папке и использовать apache для направления всех SSL-соединений в эту папку. таким образом я могу быть уверен, что сценарий, который должен быть защищен с помощью SSL, не будет вызван из не SSL-соединения.
Если вы входите в систему с использованием SSL, а затем перенаправляете их на страницы без SSL, вам может потребоваться учетная запись для доменов и файлов cookie. например, я всегда использую другой домен для ssl, обычно https; // secure.blah.com, а затем перенаправляю их на небезопасный домен http; // www.blah.com, поэтому ваш домен cookie должен быть blah.com по умолчанию используется полное доменное имя, что означает, что файлы cookie для secure.blah.com не будут отправляться на www.blah.com и, следовательно, ваши пользователи никогда не войдут в систему.
Не используйте этот метод, если вы используете общий доменное имя, в противном случае у вас может возникнуть проблема с утечкой информации cookie.
Округ Колумбия
Это не должно повлиять на ваш код. Добавьте правила modrewrite в конфигурацию Apache. Да, просто получите сертификат SSL (вам нужно будет заплатить, чтобы он был подписан Verisign или другим центром сертификации).