如何在没有证书的情况下将 HTTPS 请求重定向到 HTTP(Apache VirtualHosts)并避免证书警告
- 2024-11-04 08:42:00
- admin 原创
- 35
问题描述:
首先我想说的是,这不是一个好的做法,我们应该努力让所有东西 100% 的时间都使用 HTTPS,但在这种情况下,我对不包含敏感信息的系统有一系列尴尬的要求。当我还是个初级程序员时,我完全不知道 HTTPS/TLS 是如何工作的,但后来我保留了它来帮助其他人,因为它得到了相当多的关注。如果您有兴趣,我建议您阅读 Oreily 的 TLS 101。您现在可以使用Let's Encrypt
获取免费的 TLS 证书,我强烈推荐。最后,如果您使用的是默认的 Apache 配置,请在输入您的 apache 版本后选择“现代”,查看Mozilla 的 SSL 配置生成器。
我在一个 Apache 服务器上托管了几个独立的网站:
网站
site.com 将应用程序内部的所有用户重定向到 HTTPS。
示例.com
example.com 是一个 HTTP 网站,HTTPS 请求会重定向到 HTTP
为了避免意外请求https://example.com而不是http://example.com时获取 site.com(因为当仅使用一个 HTTPS vhost 时该主机将成为默认站点),我需要为 example.com 设置一个 https vhost,但我必须使用自签名证书因为该站点没有理由使用 SSL。
这意味着当有人访问https://example.com时,他们会收到一个浏览器警告页面,提示 SSL 是自签名的,然后只要他们点击继续,就会被重定向到 HTTP
有没有办法在没有证书的情况下将 HTTPS 请求重定向到 HTTP
这是当前的虚拟主机:
<VirtualHost *:443>
ServerName about.example.com:443
DocumentRoot "/directory"
<Directory "/directoy">
AllowOverride All
Require all granted
</Directory>
RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/ExampleCOM.pem
SSLCertificateKeyFile /etc/httpd/ssl/AboutExampleCOM-key.pem
Header always set Strict-Transport-Security "max-age=15768000"
</VirtualHost>
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
# Disabled to avoid CRIME attack
SSLCompression off
# this usually compromises perfect forward secrecy
SSLSessionTickets off
# OCSP Stapling, httpd 2.3.3 or later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
解决方案 1:
从根本上讲,这是一个问题。通过 HTTPS 进行通信时,TLS 通信层是在交换任何内容之前设置的,即在传输有关网站的任何信息之前会发出有关证书的警告。因此,当定义了 https 时(无论是否自签名),都需要证书来允许浏览器进行连接。
理想情况下,对于“最佳实践”,我们应该真正鼓励人们默认使用 HTTPS(我意识到这是一种开销,并且证书可能会令人烦恼,虽然自签名证书不应该有任何问题,但经常会出现问题和浏览器消息等)。
即使您有一个“只能执行 http”的应用程序服务器,最佳做法通常是在该应用程序服务器前面放置一个 Web 服务器(例如 nginx 或 lighthttpd 或某种形式的负载平衡器),它也将提供您的 https 终止。——这似乎是您使用 httprewrite 所做的事情,它将请求转发到您的站点。
您可能会发现一些廉价的 SSL 证书提供商已安装在大多数浏览器中?
解决方案 2:
简短回答:不,没有办法做到这一点。
在任何类型的重定向发生之前,都会连接到 https 。您唯一能做的就是购买证书。如今,常规域名证书非常便宜。
您可以以每年 4.99 美元的价格获得有效的域名证书。然后进行重定向,以便覆盖 https 和 http。
或者您可以关闭 443 虚拟主机,但用户将收到 404 或连接错误页面。如果他们尝试 https。
这些是您的选择。只要它是自签名的,您的用户就会始终收到该警告页面,这是设计使然。
- 2024年20款好用的项目管理软件推荐,项目管理提效的20个工具和技巧
- 2024年开源项目管理软件有哪些?推荐5款好用的项目管理工具
- 项目管理软件有哪些?推荐7款超好用的项目管理工具
- 项目管理软件哪个最好用?盘点推荐5款好用的项目管理工具
- 项目管理软件有哪些最好用?推荐6款好用的项目管理工具
- 项目管理软件有哪些,盘点推荐国内外超好用的7款项目管理工具
- 2024项目管理软件排行榜(10类常用的项目管理工具全推荐)
- 项目管理软件排行榜:2024年项目经理必备5款开源项目管理软件汇总
- 2024年常用的项目管理软件有哪些?推荐这10款国内外好用的项目管理工具
- 项目管理必备:盘点2024年13款好用的项目管理软件