phpBB / Cloudflare und SSL

[Wolkenbruch]

Hallo, ich habe mir die Worte von tas2580 zu Herzen genommen und liefere das Forum über Cloudflare aus. Vorgegangen bin ich nach seiner ausführlichen Anleitung. Weiterhin habe ich die Infos dieses Beitrages gelesen.

Irgendwas habe ich falsch gemacht, vergessen oder übersehen.

Im Firefox wird bei Eingabe von http://www. auf https weitergeleitet. Statt dem grünen Schloss kommt ein gelbes Ausrufungszeichen auf der Startseite. Nach dem Anmelden erscheint ein grünes Schloss.
Im Chrome greift die Weiterleitung nicht!

Meine .htassecc sie so aus:

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine on

RewriteCond %{HTTPS} !=on
RewriteRule ^/?secure/(.*) https://%kolumbienforum.net/secure/$1 [L,R=301]

RewriteCond %{HTTP_HOST} !^www\.kolumbienforum\.net$
RewriteRule ^(.*)$ https://www.kolumbienforum.net/$1 [R=301,L]

Im Einstellungsmenü von Cloudflare, wenn ich den Reiter CRYPTO anklicke kommt folgende Fehlermeldung:
The following error occurred while parsing the API response: JSON.parse: unexpected character at line 1 column 1 of the JSON data

Über eine Hilfe würde ich mich sehr freuen und wünsche allen einen angenehmen Sonntag


Edit: Ich verwende noch die Erweiterung Cloudflare unmasked IP von 3Di.

[juliokr]

Statt dem grünen Schloss kommt ein gelbes Ausrufungszeichen auf der Startseite. Nach dem Anmelden erscheint ein grünes Schloss.

Deutet auf Mixed content hin. Hast Du evtl. irgendwelche Bilder, Werbebanner, Javascripts die von anderen Servern die nicht mit https laufen aufgerufen werden und nur Gästen angezeigt werden eingebaut ?

Ich habe folgenden .htaccess

Code: Alles auswählen

RewriteEngine on
RewriteBase /
RewriteCond %{HTTPS} =off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]

Damit funktionier das forcing auf https 100%

[tas2580]

Eine Weiterleitung auf HTTPS darfst du nicht einbauen da Cloudflare die Seite immer noch über HTTP holt. Setze stattdessen einen HSTS Header, das kannst du über Cloudflare machen.

Das gelbe Schloss bedeutet, dass du irgendwo Ressourcen wie Bilder oder Javascripts über HTTP eingebunden hast. Wenn du HTTPS für deine Domain verwendest müssen alle eingebetteten Ressourcen auch über HTTPS ausgeliefert werden.

Gruß Tobi

[Wolkenbruch]

Also nehme ich das:

Code: Alles auswählen

RewriteCond %{HTTPS} !=on
RewriteRule ^/?secure/(.*) https://%kolumbienforum.net/secure/$1 [L,R=301]

wieder raus aus der .htaccess.

Das ist so ok?

Code: Alles auswählen

RewriteCond %{HTTP_HOST} !^www\.kolumbienforum\.net$
RewriteRule ^(.*)$ https://www.kolumbienforum.net/$1 [R=301,L]

Das der Chrome Browser anders als der Firefox reagiert ist normal?
Wo finde ich die Einstellung HSTS Header bei Cloudflare?

[juliokr]

Warum gehst Du eigentlich über Cloudflair ?
Inzwischen bieten die meisten seriösen Hoster kostenlose Let's Encrypt Zertifikate an !
Würde dir den "Umweg" über Cloudflair ersparen

[tas2580]

Schau mal bei "Crypto -> HTTP Strict Transport Security (HSTS)", aber stell den Wert erst mal nicht all zu hoch ein.

Die Weiterleitung in der htaccess kann Probleme machen wenn dann Cloudflare versucht die Seite per HTTPS aufzurufen. Wenn es damit läuft OK, wenn nicht nimm sie wieder raus.

Gruß Tobi

[Wolkenbruch]

@juliokr: Bei meinem Shared Hosting bin ich auf die Zertifikate des Hosters angewiesen, daher kann ich kein kostenloses Zertifikat verwenden.

@tas2080: HTTP Strict Transport Security (HSTS) habe ich bei Cloudflare eingestellt. Dort geht nur ein oder aus. Zeiten kann ich nicht angeben.

Danke für die Hilfestellung. Eine Bitte hätte ich noch, schau doch nochmal meine .htaccess an. Im Firefox läuft es damit ohne Probleme. Es unterscheidet sich etwas von den Angaben die @juliokr macht.

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine on

RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS
RewriteRule ^/?secure/(.*) https://%kolumbienforum.net/secure/$1 [L,R=301]

RewriteCond %{HTTP_HOST} !^www\.kolumbienforum\.net$
RewriteRule ^(.*)$ https://www.kolumbienforum.net/$1 [R=301,L]

Auf der Startseite für Gäste habe ich eine Grafik mit Link entfernt. Da kommt nun auch der grüne Schloss.

[tas2580]

Die .htaccess wirkt bei dir nicht da die Webseite jetzt über Cloudflare ausgegeben wird. Bei mir wird auch im FF nicht weitergeleitet.

Wenn du bei cloudflare auf den Button "Change HSTS Settings" klickst musst du erst mal runter scrollen und bestätigen, dass du weißt was du tust.Danach kannst du bei "Max Age Header (max-age)" einstellen wie lange der Header gültig ist. Dann klappt es auch mit der Weiterleitung im Bowser ohne .htaccess.

Gruß Tobi

[Wolkenbruch]

Stimmt die Weiterleitung geht nicht. Lag an meinem Cache.
Ich habe nun die "Max Age Header (max-age)" auf die empfohlenen 6 Monate eingestellt.
Status: On
Max-Age: 6 months (recommended)
Include subdomains: Off
Preload: Off
No-sniff: On

Weitergeleitet wird jedoch nicht und das ist ja eigendlich das wichtigste.

Kann das an der folgender Einstellung in der .htaccess liegen?
RewriteCond %{HTTP_HOST} !^www\.kolumbienforum\.net$
RewriteRule ^(.*)$ http://www.kolumbienforum.net/$1 [R=301,L]

Entschuldigt die vielen Fragen


Edit: Gäste sehen die unsichere Seite. Nach dem anmelden befindet man sich der sicheren Seite. Umgekehrt wäre besser.

[Wolkenbruch]

Moin moin, keiner eine Idee? Dann bleibt mir nichts anderes übrig als wieder die DNS meines Providers einzusetzen und ohne SSL zu bleiben.

Edit: Zwischenzeitlich habe ich - ohne die einen Beitrag höhere Weiterleitung getestet. Es bleibt gleich. Gäste sehen das Forum "UNSICHER" nach dem Anmelden kommt das grüne Schloss und man ist auf der sicheren Seite.

Es scheint beim Firefox (52) an den Cookies zu liegen.