如何在没有证书的情况下将 HTTPS 请求重定向到 HTTP（Apache VirtualHosts）并避免证书警告

问题描述：

首先我想说的是，这不是一个好的做法，我们应该努力让所有东西 100% 的时间都使用 HTTPS，但在这种情况下，我对不包含敏感信息的系统有一系列尴尬的要求。当我还是个初级程序员时，我完全不知道 HTTPS/TLS 是如何工作的，但后来我保留了它来帮助其他人，因为它得到了相当多的关注。如果您有兴趣，我建议您阅读 Oreily 的 TLS 101。您现在可以使用Let's Encrypt
获取免费的 TLS 证书，我强烈推荐。最后，如果您使用的是默认的 Apache 配置，请在输入您的 apache 版本后选择“现代”，查看Mozilla 的 SSL 配置生成器。

我在一个 Apache 服务器上托管了几个独立的网站：

网站

site.com 将应用程序内部的所有用户重定向到 HTTPS。

示例.com

example.com 是一个 HTTP 网站，HTTPS 请求会重定向到 HTTP

为了避免意外请求https://example.com而不是http://example.com时获取 site.com（因为当仅使用一个 HTTPS vhost 时该主机将成为默认站点），我需要为 example.com 设置一个 https vhost，但我必须使用自签名证书因为该站点没有理由使用 SSL。

这意味着当有人访问https://example.com时，他们会收到一个浏览器警告页面，提示 SSL 是自签名的，然后只要他们点击继续，就会被重定向到 HTTP

有没有办法在没有证书的情况下将 HTTPS 请求重定向到 HTTP

这是当前的虚拟主机：

<VirtualHost *:443>
        ServerName about.example.com:443

        DocumentRoot "/directory"
        <Directory "/directoy">
                AllowOverride All
                Require all granted
        </Directory>

        RewriteEngine On
        RewriteCond %{HTTPS} on
        RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}

        SSLEngine on
        SSLCertificateFile /etc/httpd/ssl/ExampleCOM.pem
        SSLCertificateKeyFile /etc/httpd/ssl/AboutExampleCOM-key.pem
        Header always set Strict-Transport-Security "max-age=15768000"
</VirtualHost>

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on

# Disabled to avoid CRIME attack
SSLCompression          off

# this usually compromises perfect forward secrecy
SSLSessionTickets       off

# OCSP Stapling, httpd 2.3.3 or later
SSLUseStapling          on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache        shmcb:/var/run/ocsp(128000)

解决方案 1：

从根本上讲，这是一个问题。通过 HTTPS 进行通信时，TLS 通信层是在交换任何内容之前设置的，即在传输有关网站的任何信息之前会发出有关证书的警告。因此，当定义了 https 时（无论是否自签名），都需要证书来允许浏览器进行连接。

理想情况下，对于“最佳实践”，我们应该真正鼓励人们默认使用 HTTPS（我意识到这是一种开销，并且证书可能会令人烦恼，虽然自签名证书不应该有任何问题，但经常会出现问题和浏览器消息等）。

即使您有一个“只能执行 http”的应用程序服务器，最佳做法通常是在该应用程序服务器前面放置一个 Web 服务器（例如 nginx 或 lighthttpd 或某种形式的负载平衡器），它也将提供您的 https 终止。——这似乎是您使用 httprewrite 所做的事情，它将请求转发到您的站点。

您可能会发现一些廉价的 SSL 证书提供商已安装在大多数浏览器中？

解决方案 2：

简短回答：不，没有办法做到这一点。

在任何类型的重定向发生之前，都会连接到 https 。您唯一能做的就是购买证书。如今，常规域名证书非常便宜。

您可以以每年 4.99 美元的价格获得有效的域名证书。然后进行重定向，以便覆盖 https 和 http。

或者您可以关闭 443 虚拟主机，但用户将收到 404 或连接错误页面。如果他们尝试 https。

这些是您的选择。只要它是自签名的，您的用户就会始终收到该警告页面，这是设计使然。