HTTPS достъп до форума

Публикувай отговор
Аватар
teou
Site Admin
Мнения: 3039
Регистриран на: 23 Ное 2012 19:57
Местоположение: Dreieich - Dreieichenhein (Hessen) / София / Синеморец
Обратна връзка:

Re: HTTPS достъп до форума

Мнение от teou »

НОВО! Огромни благодарности на Sharo, който ме светна за безплатните сертификати!! Благодарение на това, първо вече потребителите няма да "се плашат" от самоподписани неща. Второ, при това положение си позволих да редиректна целия трафик през HTTPS, което решава проблема и с нефелните вътрешни линкове, разлогването и други простотии. Разбира се, ще следя натоварването на хоста и ако нещата почнат да излизат от контрол ще върнем старото положение донякъде. Надявам се да не се наложи.
Аватар
teou
Site Admin
Мнения: 3039
Регистриран на: 23 Ное 2012 19:57
Местоположение: Dreieich - Dreieichenhein (Hessen) / София / Синеморец
Обратна връзка:

Re: HTTPS достъп до форума

Мнение от teou »

Въпреки това напомням следното: това е форум. Има теми с вградени картинки, клипчета и т.н. от външни сайтове. Очевидно в такива теми браузърът ще "маха" катинарчето, защото връзката към външните неща няма да е криптирана. Специално за IE там в долната част се появява бутонче "Show all content", което трябва да се натисне, за да се гледат клипчетата. Смесеното съдържание не представлява никакъв проблем за сигурността в нашия случай при тези настройки на форума, тъй като бисквитките се изпращат криптирани и няма как да бъдат преслушани от зложелатели.
Аватар
teou
Site Admin
Мнения: 3039
Регистриран на: 23 Ное 2012 19:57
Местоположение: Dreieich - Dreieichenhein (Hessen) / София / Синеморец
Обратна връзка:

Re: HTTPS достъп до форума

Мнение от teou »

Онзи ден ми се наложи да почиствам един компютър и видях, че при определени условия сертификатът на форума се приема за невалиден и се появява предупреждаващо съобщение. За съжаление бързах много да предам пооправената машина на човека защото той бързаше и не можах да тествам на място или пък да ъпдейтвам браузъри. В последствие на моя компютър използвайки пакета от стари браузърни версии (10x Error_404) не можах да възпроизведа проблема, нито пък на виртуална машина или на наличните такива у нас.

Въпреки това, от чисто теоретична гледна точка, единственият начин да се получи това според мен са неактуални списъци с CA или CRL - било то на браузъра или на самия Уиндоус, ако браузъра е ИЕ или Хром. Ето защо е важно човек да си обновява системата и браузъра с автоматичните ъпдейти овреме!

Все пак, ако някой от вас изпитва подобни проблеми ще се радвам да науча при какви точно обстоятелства е станало и каква е точната причина. Благодаря.
sharo
Старши потребител
Мнения: 63
Регистриран на: 27 Дек 2012 22:11

Re: HTTPS достъп до форума

Мнение от sharo »

Сложил ли си sub.class1.server.ca.pem ?

-- 18 Мар 2013 13:53 --

Освен това си генерирал сертификата за nethelpforums.net, но си пропуснал www.nethelpforums.net ... което е странно :)
ekm
Мнения: 20
Регистриран на: 03 Мар 2013 00:06

Re: HTTPS достъп до форума

Мнение от ekm »

То е хубаво да се избере да е с www или да е non-www и да се пренасочи с 301 Redirect, защото така се полуава дублирано съдържание за търсачките и по-специално за Google, който вече е доста чувствителен към тези неща. Дублираното съдържание може да повлияе на класирането на форума и темите при търсене - а за нов форум, като този не е добре.
То вече има индексиран форума и в двата варианта www и non-www
http://www.google.bg/#hl=bg&sclient=psy ... 79&bih=816
и
http://www.google.bg/#hl=bg&sclient=psy ... 79&bih=816
Аватар
teou
Site Admin
Мнения: 3039
Регистриран на: 23 Ное 2012 19:57
Местоположение: Dreieich - Dreieichenhein (Hessen) / София / Синеморец
Обратна връзка:

Re: HTTPS достъп до форума

Мнение от teou »

Благодаря ви и на двамата за точните забележки. Мои пропуски, които днес отстраних.

Вариантът, който искам да наложа е https://nethelpforums.net
Трите дубъл вета честно казано са част от миналото и ако не са поставени с някаква маркетингова цел няма никаква основателна причина да се ползват и да усложняват адреса (въпреки, че четох разни неща на тема cookies без http://www., но за нашия случай не е релевантно).

1) Сертификата го бях объркал - вече е и за www. поддомейна и няма да мята грешки.
2) На пренасочването бях забравил да пиша какво да връща и по дифолт връщаше риспонс 302, вече е оправено.
3) WWW. поддомейна вече също пренасочва към не-ввв версията, с 301. Да живее htaccess-a :) В такива моменти искрено съжалявам хорицата, на които им се налага да ползват M$ IIS - не че и там не може да се направи, но е доста по-тегаво за конфигуриране :)


Обръщам внимание на едно нещо, което в началото и го отчетох като грешка (без да искам обърках настройките на генератора на сертификата), но след известен размисъл не съжалявам вече за това (не мога и да го оправя вече, освен ако не извадя 25 долара). А именно, сертификатите са хеширани с SHA2 . Съответно антични машини с XP до SP2 включително достъп до форума няма как да имат, защото поддръжката на SHA2 идва в XP SP3.
Ако се замислим обаче, това е 12 годишна ОС, на която дори производителят й скоро ще спре поддръжката. За какъв дявол аз да я поддържам? И ако за използването все още на ХП днес има някакви аргументи - държавни организации с много стари компютри и без пари за ъпгрейд от сорта на училища и университети, то за това да се ползва 12 годишна ОС БЕЗ да се ъпдейтва до последния сервизен пакет, излязъл преди 5! години, оправдания освен администраторски мързел НЯМА! Усилието да си пуснеш уин ъпдейт е минимално, сп3 макар и да утежнява леко системата все пак не е безобразно тромав, а и е без пари.

редакция октомври 2013г.: според този сайт потребители на ХП сп 2 могат да виждат сайта чрез браузер Firefox, но аз лично не съм пробвал.

Иначе относно горния ми пост - не мисля, че е било от това проблема - не съм го писал с ввв там.
Аватар
cRySiS
Мнения: 22
Регистриран на: 15 Мар 2013 12:14

Re: HTTPS достъп до форума

Мнение от cRySiS »

Според мене форума трябва да мина през проксита... за по голяма сигурност.

Тео: това е услуга, която се заплаща и за момента не можем да си я позволим. И не се нарича по този начин.
Аватар
teou
Site Admin
Мнения: 3039
Регистриран на: 23 Ное 2012 19:57
Местоположение: Dreieich - Dreieichenhein (Hessen) / София / Синеморец
Обратна връзка:

Re: HTTPS достъп до форума

Мнение от teou »

Малък ъпдейт по темата. Не е bug, не е и feature.

За тези от вас, които ползват Firefox, в новата версия 23 има една съществена промяна под капака, а именно - по дифолт при Active Mixed Content автоматично се случва блокиране на съдържанието. Това теоретично е нещо хубаво и може да донесе по-голяма сигурност на потребителя, на практика обаче в тази версия просто не са го доизпипали. Няма настройване в опциите, няма и per site permissions.

Какво означава това на практика? Означава, че вградените в теми като тази за музикални поздрави клипчета от Вбох7 по дифолт вече ще бъдат скрити. Досега се променяше само иконката в статус бара, но клипчетата се показваха.
Другото съдържание - картинки и клипчета от Ю туб, не са засегнати. Всъщност тубата също беше засегната, но тъй като тя е един доста по сериозен от Вбокс сайт си има SSL версия, така че фикснах съответния bbcode и всичко заспа, вкл. за старите клипчета.

Вариантите за страниците с Вбокс клипчета са два:
1) Да се прегърне новото поведение на Мозила и да се чака някой да се сети да го дооправи в следващата версия другия месец. В този случай страницата ще изглежда така:
ff-mixed.jpg
ff-mixed.jpg (48.05 KiB) Преглеждано 2111 пъти
Трябва да се кликне на щитчето и да се избере Disable Protection, иначе - бяло петно. Тъпото е, че тази настройка няма запаметяване, т.е. при всяко зареждане на страница - пак. Истинска досада, както казах - някой си е оставил ръцете при коденето или по-скоро функция, която е на ниво бета е прибутана от някой дебилен мениджър във финална версия, за да се отчете дейност.
2) С теоретичен риск за вашата сигурност, да върнете старото поведение, което беше до вчера: в about:config се прави следната промяна:
ff-mixed-off.jpg

Редакция: всъщност докато го писах намерих начин и оправих и Vbox, така че относно форума проблеми повече няма да има. Все пак оставям поста, защото тези ефекти ще ги има на доста сайтове, така че поста може да е полезен някому.
Публикувай отговор