Aktivierung von https, was muss im ACP angepasst werden?

[MDuss]

Hi Leute.

Ich habe da eine kleine Frage bzgl. https.

Bei meinem Web Hoster ist ein zertifiziertes Zertifikat für https enthalten, und ich denke darüber nach es auch zu nutzen.
Wenn ich das aktiviere, welche Einstellungen im ACP muss ich dann machen, damit dort alles korrekt weiter läuft?

Bisher habe ich, denke ich mal, 2 Einstellungen gefunden die ich ändern müsste:

Allgemein: -> Coockies: -> Sicherer Server: von deaktiviert auf Aktivieren umstellen
Allgemein: -> Server und Domain: -> Server-Protokoll: von http:// auf https:// umstellen.

War es das, oder muss ich an anderer Stelle noch etwas umstellen/ändern?

Bisher hatte ich nur http genutzt, aber wenn ich die Möglichkeit habe, dann möchte ich gerne auf https umstellen.

MfG
MDuss

[tas2580]

Bei Allgemein: -> Server und Domain: -> Server-Port: solltest du dann noch 443 eintragen. Das wars dann.

Gruß Tobi

[MDuss]

Vielen Dank Tobi.

MfG
MDuss

[tas2580]

Was du evtl. noch beachten solltest ist das wenn deine Seite über https läuft auch alle eingebundenen Ressourcen über https ausgeliefert werden müssen. Das ist gerade für Bilder die von deinen Benutzern in Beiträgen gepostet werden ein Problem.
Um das zu lösen kannst du entweder so wie hier externe Bilder als Link anzeigen, oder du verwendest meine Image Proxy Extension.

Wenn du selber irgendwas wie Besucherzähler o.Ä. in dein Style einbaust musst du drauf achten, dass alle Javascripts und CSS per https:// eingebunden werden, alternativ kannst du auch einfach // statt http:// als Protokoll benutzen, dann wird die Resource mit dem selben Protokoll wie dein Seitenaufruf eingebunden. Du kannst dann natürlich nur noch externe Scripte von Servern verwenden die SSL unterstützen.

Gruß Tobi

[MDuss]

Hi Tobi.

Vielen Dank für diese Information.

Werde mir deine Mod herunterladen und im Testfoum mir das ganze mal anschauen.

MfG
MDuss

[MDuss]

Eine kleine Frage habe ich da noch.

Im Bereich Allgemein: -> Server und Domain:

Gibt es ja noch den Punkt:
Erzwinge Server-URL-Einstellungen:
Soll ich dort auf "ja" umstellen, oder soll ich die auf "Nein" belassen?

MfG
MDuss

[tas2580]

Das kannst du auf nein lassen. Wenn du HTTPS erzwingen willst machst du das am besten per htaccess mod_rewrite. Wenn du dir sicher bist, dass du in nächster Zeit auf HTTPS bleibst kannst du auch einen HSTS Header senden. Ganz sicher ist natürlich beides.

Gruß Tobi

[MDuss]

Hi.

Vielen Dank für eure Tipps.

Bis jetzt läuft alles normal. Habe gestern Nachmittag auf https umgestellt.

MfG
MDuss

[uwe.ha]

Hallo zusammen,

da ich auch bald auf https umsteigen will, nochmal - zur Sicherheit - nachgefragt:

Hier in diesem Post werden folgende notwendigen Einstellungsänderungen aufgeführt:

1. und 2.

Bisher habe ich, denke ich mal, 2 Einstellungen gefunden die ich ändern müsste:

Allgemein: -> Coockies: -> Sicherer Server: von deaktiviert auf Aktivieren umstellen
Allgemein: -> Server und Domain: -> Server-Protokoll: von http:// auf https:// umstellen.

3.

Bei Allgemein: -> Server und Domain: -> Server-Port: solltest du dann noch 443 eintragen. Das wars dann.

Unter viewtopic.php?f=145&t=235810&hilit=https#p1345332 schriebt

Im Admin-Bereich solltest du unter "Server Konfiguration" -> "Server und Domain" (habe ich gerade in phpBB 3.0 nachgesehen, möglicherweise ist der Ort bei phpBB 3.1 etwas anders) auf https umstellen. Mehr sollte nicht erforderlich sein.

gn#36 bestätigt also den 2. Punkt von oben.
Was ist mit 1. (Cookies -> Sicherer Server) und 3. (Server-Port auf 443)?
Hat die gn#36 vergessen, oder sind die doch nicht nötig?

Was mir noch aufgefallen ist:
4.:
Wenn unter "Board-Konfiguration" -> "Board-Einstellungen" die "URL der Homepage" mit http angegeben ist, muss dies auch noch auf https umgestellt werden, richtig?

Vielen Dank und schöne Grüße!

[MDuss]

Hi uwe.ha

Ich hatte damals folgende Einstellungen geändert, und bisher läuft alles ohne Probleme.

1) Allgemein: -> Coockies: -> Sicherer Server: von deaktiviert auf Aktivieren umstellen

2) Allgemein: -> Server und Domain: -> Server-Protokoll: von http:// auf https:// umstellen.

3) Bei Allgemein: -> Server und Domain: -> Server-Port: dort 443 eintragen

zu 4) Ja, dies ist richtig.

Nachdem die Änderungen gemacht wurden, am besten noch den Fourmscache löschen, damit das Forum nicht aus versehen noch die alten gecachten Seiten verwendet.

Es kann auch sein, dass die User ihre Coockies aktualisieren müssen, da die alten Coockies noch die http Daten enthalten.
Also wenn die User auf dem Board sind, einfach die F5 zum aktualisieren. Oder im hartnäckigen fall die Cockies vom Browser löschen lassen.

Man kann natürlich auch noch zusätzlich den Tipp von [BTK] Tobi mit umsetzen.

Im Stammverzeichnis des Webservers eine .htacces Datei anlegen, falls nicht schon vorhanden, und ganz am Anfang folgendes Angeben:
1)

Code: Alles auswählen

Header set Strict-Transport-Security "max-age=31536000"

Das aktiviert den HSTS Header für 365 Tage. Danach wird die Gültigkeit nochmals geprüft und gegebenenfalls verlängert.
Näheres siehe dazu hier:
https://de.wikipedia.org/wiki/HTTP_Stri ... t_Security
https://www.cyon.ch/support/a/wie-aktiv ... ne-website

2)

Code: Alles auswählen

RewriteEngine On
# This will enable the Rewrite capabilities
RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS
RewriteRule ^/?secure/(.*) https://%{SERVER_NAME}/secure/$1 [R,L]
# This rule will redirect all users who are using any part of /secure/ to the same location but using HTTPS.
# i.e.  http://www.example.com/secure/ to https://www.example.com/secure/
# This means if you dont want to force HTTPS for all directories you can force it for a specific sub-section of the site.

https://wiki.apache.org/httpd/RewriteHTTPToHTTPS

Auch in die .htaccess Datei einfügen. Ob man 1) vor 2) in die Datei Einträgt oder anders rum, dürfte, denke ich mal, egal sein.

MfG
MDuss