Umstellung auf https://

Beschreibung: Anleitung für die Einrichtung der sicheren Webseite über die .htaccess oder über phpBB3

Kategorie: Server, PHP und MySQL

Link zu diesem Artikel: Alles auswählen

[url=https://www.phpbb.de/kb/viewarticle?a=102&sid=cbdfff89d0e1d00c517b616d5866b375]Knowledge Base - Umstellung auf https://[/url]

Viele Webseiten-Betreiber fragen sich, wie man den Zugriff auf die Webseite über "https://" einrichten kann.
Zuerst muss ein gültiges SSL-Zertifikat für die Domain oder die Website vorliegen. Man erhält dieses entweder vom Hoster, oder man "besorgt" sich ein eigenes, zum Beispiel "Lets Encrypt". Bei einem Domain-basierendem Zertifikat werden die Domain und die Sub-Domains abgedeckt.
Beispiel
Domain www.example.com oder example.com.
Sub-Domains forum.example.com, blog.example.com, etc.

1. Einrichtung über die .htaccess
Dafür wird die .htaccess, die im Root des Verzeichnisses deiner Seite liegt, um folgende Befehle ergänzt. Ist keine .htaccess vorhanden, muss eine mit einem geeigneten Textverarbeitungsprogramm (notepad++) angelegt werden.
Voraussetzungen für die "https://"-Aktivierungen sind folgende Apache-Module, die geladen sein müssen: Module "mod_rewrite" und "mod_headers". Eine Nachfrage beim Hoster ist empfehlenswert.

Folgende Anweisungen werden der Reihenfolge nach eingefügt: RewriteEngine On (Damit wird das Modul "mod_rewrite" aktiviert"), RewriteCond %{HTTPS} !=on (Umschreibungsbedingung) und RewriteRule ^(.*) https://%{HTTP_HOST}/$1 [R=301,L] (Umschreibungs-Regel).
Die erste Anweisung schaltet die "https://"-Aktivierung an. Die zweite Anweisung setzt den Zugriff auf die Website immer mit "https://".
("L" bedeutet, dass nach dieser Umschreibung der URL keine weiteren Umschreibungen mehr ausgeführt werden, "R=301"= permanente Umleitung/Weiterleitung.).
Die Eintragungen als Code:

Code: Alles auswählen

<IfModule mod_rewrite.c>
	RewriteEngine On
	RewriteCond %{HTTPS} !=on
	RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
Die "IfModule"-Anweisungen überprüfen zusätzlich, ob das "rewrite"- Modul geladen ist.
Zusätzlich kann man auch noch die Zuordnung "www." erzwingen. Man fügt dann folgenden Code innerhalb der "IF"-Anweisung an den oben eingefügten an:

Code: Alles auswählen

	RewriteCond %{HTTP_HOST} ^example\.com [NC]
	RewriteRule ^(.*)$ https://www.example.com/$1 [L,R=301,NC]
Somit werden alle Aufrufe der Website automatisch auf https://www.example.com umgeleitet.

Alternative Schreibweisen für die "https://"-Aktivierung sind
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

und
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301]


2. Einrichtung über die Forensoftware phpBB3
Man loggt sich als Gründer oder Administrator mit Zugriffsrechten auf die Board- und Server-Konfiguration ein und geht ins Administrations-Menü (ACP). Als Administrator muss man diese Rechte haben, da sonst die Möglichkeit zum Ändern der Server-Einstellungen nicht gegeben ist.

Auf der Übersichtsseite links unter "Server-Konfiguration" auf "Server und Domain" klicken. Es öffnet sich das Fenster mit den Einstellungen für die Webseite.
Die Einrichtung ist dann wie auf dem unten gezeigten Screenshot vorzunehmen.
Bild
Der Server-Port "443" ist Standard für die SSL-Übertragung (https://). Genaue Auskunft über den Port kann man beim Hoster erfragen.
Hat man die Eintragungen/Änderungen vorgenommen, wird das Ganze mit dem Klick auf den Button "Absenden" übernommen und gespeichert.

3. Ändern/Einrichten der Cookies
Bei beiden Einrichtungsmöglichkeiten müssen die Cookie-Einstellungen auch noch angepasst werden. Dafür öffnet man im ACP-Menü links unten unter "Server-Konfiguration" die Option Cookies".
Im folgenden Fenster die Cookie-Einstellungen wie auf dem unten angezeigten "Screen-Shot" vornehmen. Dabei ist es jedem Webmaster überlassen, den Cookie-Hinweis anzeigen zu lassen, oder nicht. Dementsprechend "Aktiviert" oder "Deaktiviert" setzen.
Bild
Auch hier mit dem Klick auf den Button "Absenden" die Einstellungen übernehmen und speichern.

4. Optionale Maßnahmen
Unter bestimmten Voraussetzungen wird empfohlen, den "HSTS-Header" zu setzen. Ob die Voraussetzungen gegeben sind, kann man hier überprüfen.
Das Setzen des Headers erfolgt mit folgender Anweisung in der ".htaccess":

Code: Alles auswählen

<IfModule mod_rewrite.c>
	Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
Die Angabe max-age=31536000 bedeutet, dass der Header für 1 Jahr gesetzt wird. Das ist die "Mindest-Laufzeit" und wird jetzt öfter "63072000" (2 Jahre) gesetzt.