私のすべてのhttpページをhttpsにリダイレクトする方法に疑問があります。この変更を行うために推奨される方法です何HTTPリクエストをHTTPSにリダイレクトするための推奨方法
とApacheが私を説明することができthis way
誰でもで行うことを言う:
私はこのreplyでのように書き換えを行うことを教えて誰かがいることを見にきました
私のすべてのhttpページをhttpsにリダイレクトする方法に疑問があります。この変更を行うために推奨される方法です何HTTPリクエストをHTTPSにリダイレクトするための推奨方法
とApacheが私を説明することができthis way
誰でもで行うことを言う:
私はこのreplyでのように書き換えを行うことを教えて誰かがいることを見にきました
HTTPをhttpsにリダイレクトする唯一の安全な方法は、プリロードオプションを使用してHSTS(Header Strict-Transport-Security)を使用することです。
apacheリダイレクトは、攻撃者が傍受して書き換えることができるため、安全ではありません。 HTTPS応答で
<VirtualHost *:80>
ServerName www.example.com
Redirect "/" "https://www.example.com/"
</VirtualHost>
:残念ながら、HSTSをプリロードしていないか、古いブラウザやブラウザのために、それはあなたの唯一のオプションです
<VirtualHost *:443>
# Use HTTP Strict Transport Security to force client to use secure connections only
# Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Strict-Transport-Security "max-age=31536000"
# Further Configuration goes here
[...]
</VirtualHost>
あるいは、 .htaccessを使用して:
# Redirect if http
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# set header if https
# Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
ザ・ヘッダー厳格-トランスポートセキュリティ(HSTS)は2つの効果があります訪問者のために
HSTSさ: HSTS +プリロードがバックロールバックすることはできません、それは安全保障にコミット決定的だと注意(攻撃者があまりにもそれを削除することはできませんが、それはそれの強さです)最も安全な1が、ロールバックすることはできません。
HSTSは、最初の理由はあまり安全です接続はまだinseであることができます
HSTSがSSLTrip
SEOへの影響に対する唯一の信頼できる保護である:治療法、およびサブドメインを保護していない場合ウェブサイトはすでにすべてのhttpウェブページをhttpsにリダイレクトしており、そのヘッダーには否定的な(そして肯定的な)影響はありません。
にちょうどドキュメントルート下または上に追加します。
その答えは正しいが、不完全です:HSTSなしでは、Apacheのリダイレクトは常に安全ではありません。 – Tom
これらの変更をどこで行う必要があるか教えてください。 – Overnet
@Overnet私は答えを更新しました。 – Tom
Tomにはありがたいですが、問題は今directadminインターフェイスのポート80,433にこの行を入れる方法です:( – Overnet