Wie macht man eine Seite über SSL-Verbindungen vollständig sicher?

In diesem Beitrag werden die Konfigurationen gezeigt, die erforderlich sind, damit SSL (auf Port 443) auf Ubuntu-Servern funktioniert.

Für einige Seiten (insbesondere alte Posts/Seiten) werden jedoch „nicht vollständig sichere” Informationen angezeigt, wenn Sie den Chrome-Browser verwenden.

ssl-nein-so-sicher

Die Ursachen sind, wie es heißt, dass die Seite einige nicht sichere Verbindungen zu Bildern, CSS- oder Javascript-Dateien verwendet. Wenn Sie zu https://www.whynopadlock.com/ (Online-SSL-Prüftool) gehen, können Sie die detaillierten Gründe sehen, warum diese Seite nicht vollständig sicher ist.

SSL-Check-Tool

Alternativ können Sie zur Konsole des Chrome-Browsers gehen und die Warnungen im Detail sehen.

SSL-Details/Verbindungen in der Google Chrome-Browserkonsole

Wenn wir diese Bild-/js-/css-Ressourcen nicht zu SSL machen, könnte/könnte jemand das Aussehen der Website ändern, wodurch die Verwendung von SSL sinnlos wird.

Wenn Sie HTML – Iframe -Tags zum Einbinden von Seiten verwenden, müssen diese ebenfalls HTTPS verwenden, da dies sonst von den meisten Browsern aufgrund potenzieller Sicherheitsrisiken blockiert wird.

Auch wenn Sie Formulare haben, die unsichere URLs (Aktionsfeld) sind, erhalten Sie weiterhin Warnungen. Beispielsweise sollten Sie die SSL-Version des Google-Suchformulars anstelle der Nicht-SSL-Version verwenden.

Wenn die Ressourcen auf einer anderen Domäne gehostet werden

Es gibt nicht viel zu tun, wenn die Ressourcen auf anderen Domains gehostet werden. In diesem Fall könnten Sie die HTTPS-Versionen verwenden, sofern diese bereitgestellt werden, dies ist jedoch nicht immer möglich. Große Unternehmen haben sowohl HTTP- als auch HTTPS-Versionen, z. B. Google. Wenn nicht, können Sie eine Kopie herunterladen und auf Ihr eigenes FTP hochladen und so die URL ändern, was sicher ist.

SQL zum Ändern der URL für WordPress-Beiträge

Wenn Sie WordPress verwenden, können Sie die folgende URL verwenden, um die URLs im Beitrag zu ändern.

UPDATE wp_posts SET post_content = REPLACE (post_content, '

Das Folgende ändert auch die GUID für jeden Beitrag.

UPDATE wp_posts SET guid = REPLACE (guid,  '

Und Sie sollten sich beim WordPress-Kontrollfeld anmelden, um die Site-URL zu aktualisieren.

WordPress-SSL-Systemsteuerungseinstellungen

Alternativ können Sie dies auch über SQL tun:

UPDATE wp_options SET option_value = replace(option_value, '

Wenn Sie mehrere Websites/Domains auf derselben IP-Adresse hosten (VPS oder dedizierter Server)

Wie Sie in den obigen Screenshots sehen können, können Sie, wenn Sie mehrere Websites/Domains auf derselben IP-Adresse hosten und diese Bilder in Ihren Posts verwenden, diese Domains entweder ebenfalls sichern (neue SSL-Zertifikate kaufen) oder Ändern der URLs.

Bei der zweiten Methode können Sie Bilder/CSS/JS herunterladen und erneut in die SSL-ed-Domäne hochladen, die Sie verwenden, oder Sie können die Nicht-SSL-Ressourcen-URLs den SSL-ed-Domänen zuordnen.

Sie können sich beispielsweise bei Ihrem VPS oder dedizierten Server anmelden und einen symbolischen Link erstellen (ähnlich wie Verknüpfungen unter Windows).

ln -s  /var/non-ssl-domains/images /var/ssl-domain/images

Dann können Sie die http://non-ssl-domains/ images mit dem obigen SQL durch https://ssl-domain/images ersetzen .

Manchmal werden symbolische Links nicht vom Apache-Server verfolgt, und in diesem Fall können Sie natürlich stattdessen harte Links erstellen (ohne die Option -s).

ln  /var/non-ssl-domains/images /var/ssl-domain/images

Verwenden von PHP, um nicht sichere URLs auf sicheres SSL umzuleiten

Die andere Lösung besteht darin, eine PHP -Datei zu erstellen und basierend auf den $_GET- Parametern der URLs die Ressourcendateien von einer anderen Domäne zu lesen, da sie alle auf demselben Computer (VPS oder dedizierter Server) gehostet werden.

  function hell() {
    header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found'); 
    die();
  }
  $r = '';
  if (isset($_GET['r'])) {
    $r = trim($_GET['r']);
  }
  if (!strlen($r)) {
    hell();
  }
  $url = '/var/www/codingforspeed.com/images/'.$r;
  if (!is_file($url)) {
    hell();   
  }
  $ext = strtoupper(pathinfo($url, PATHINFO_EXTENSION));
  $type = exif_imagetype($url);
  if (($ext == 'JPG') && ($type == IMAGETYPE_JPEG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/jpeg");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefromjpeg($url);
            imagejpeg($im);
            imagedestroy($im);
            die();
  }
  else if (($ext == 'GIF') && ($type == IMAGETYPE_GIF)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/gif");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            readfile($url);   
            die(); 
  } 
  else if (($ext == 'PNG') && ($type == IMAGETYPE_PNG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/png");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrompng($url);
            imagepng($im);
            imagedestroy($im); 
            die(); 
  }
  else if (($ext == 'BMP') && ($type == IMAGETYPE_BMP)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/bmp");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrombmp($url);
            imagebmp($im);
            imagedestroy($im);  
            die();
  }
  else {
    hell();
  }

Speichern Sie den obigen PHP-Code unter Ihrer SSL-Domain, z. B. https://helloacm.com/ssl, und machen Sie ihn zu index.php.

Wenn beispielsweise die vorherige nicht sichere URL https://codingforspeed.com/images/logo.png lautet, lautet die neue sichere SSL-URL https://helloacm.com/ssl/?rlogo.png

Und ersetzen Sie URLs entsprechend in WordPress mit obigem SQL. Diese Methoden sind eher vorübergehend, denn wenn Sie Budgets haben, ist es besser, alle Ihre Domains mit SSL zu versehen.

Willkommen in der SSL-Welt! Und als Belohnung bevorzugen einige Suchmaschinen (Google-Algorithmen) SSL-Seiten gegenüber ungesichertem HTTP. Ihre SSL-Seiten erhalten tendenziell eine bessere SEO.

doppelte Schrägstriche URL

Manchmal können Sie das ‘ // helloacm.com/images/logo.png ‘ sehen. Die doppelten Schrägstriche erkennen automatisch das Protokoll der aktuellen Seite. Wenn es sich um HTTP handelt und HTTP verwendet wird, oder wenn es sich um HTTPS handelt, wird auf das Bild über HTTPS zugegriffen. Sie könnten erwägen, alle URLs für eine bessere Kompatibilität durch doppelte Schrägstriche zu ersetzen, dh Sie befinden sich immer auf dem richtigen Protokoll, unabhängig davon, welches Protokoll verwendet wird. So einfach ist das!

htaccess-URL-Mod umschreiben

Sobald Ihre SSL-URLs vollständig getestet sind, sollten Sie Ihre vorherigen nicht sicheren URLs auf SSL verschieben. Sie können dies in .htaccess (apache server mod rewrite) tun. Legen Sie einfach die folgenden zwei Zeilen in das Stammverzeichnis Ihrer Website, zB WordPress-Blog.

Die 301-Weiterleitung teilt der Suchmaschine mit, dass der SEO-Score der aktuellen unsicheren URL auf die SSL-URL übertragen werden soll. Beginnen Sie jetzt damit, Ihr SSL anstelle des unsicheren HTTP zu verbreiten.