web-dev-qa-db-fra.com

Configuration supplémentaire nécessaire après l'installation du certificat SSL?

  • Nous avons récemment développé deux applications PHP plutôt simples pour AXA (banque européenne). Les URL sont axa.tfo.be/incentives/cipres et axa.tfo.be/incentives/zrkk (l'accès aux deux sites est réservé aux visiteurs utilisant des cookies contenant des mots de passe cryptés).
  • Lors d’un précédent audit de sécurité effectué par une entreprise externe, plusieurs problèmes de sécurité ont été détectés. Tous ces problèmes ont été résolus par un collègue PHP développeur.
  • Cependant, une dernière exigence a été ajoutée: toutes les données doivent être transférées via HTTPS.
  • Mon collègue PHP est cependant en vacances et indisponible pour le moment. J'ai donc contacté mon hôte et demandé l'installation d'un certificat SSL. Je n'ai moi-même aucune connaissance ni expérience de SSL. Je suis un peu à court pour les problèmes suivants.
  • Le certificat SSL Comodo + adresse IP unique a été installé aujourd'hui par mon hébergeur pour le sous-domaine axa.tfo.be (par www.combell.be).
  • Cependant, cela ne semble pas fonctionner. J'ai posté une question à ce sujet plus tôt aujourd'hui et on m'a dit de ne pas s'inquiéter, voir le lien: https://serverfault.com/questions/339320/what-happens-if-you-install-an-ssl-certificate
  • Problèmes actuels:
    • les applications Web ne sont pas accessibles via HTTPS, HTTP fonctionne cependant (si un cookie valide est disponible)
    • il y a une page HTML statique à l'adresse http://axa.tfo.be/incentives/cipres/static.html , même cette page n'est accessible que via HTTP
  • Mon hébergeur me dit que "mon application ne prend probablement pas en charge le protocole SSL" et m'a demandé de définir une variable SSL sur true dans mon code PHP.

Donc mes questions :

  • J'ai des connaissances de base en PHP, mais je ne sais pas par où commencer en ce qui concerne la "variable SSL PHP". Les sites sont en ligne depuis un certain temps et ont été développés pour un accès PHP régulier. (Google ne m'a pas apporté d'aide non plus.)
  • Quelqu'un peut-il m'orienter dans la bonne direction ou me donner des indices pour savoir si/ce que je devrais demander à mon hébergeur pour obtenir de l'aide?
  • (Je suis un peu sur un calendrier serré, les sites seront audités à nouveau lundi, et c'est un client que je ne voudrais pas perdre ...)
phpsecurityhttpssecurity-certificate
1
ptriek

Je ne connais pas non plus de PHP variable SSL. La chose la plus proche à laquelle je puisse penser se trouve dans des frameworks tels que symfony. Si vous lui indiquez que vous utilisez SSL, tous les liens absolus qu'il génère commencent par https://.

En tout cas, il est clair pour moi que ce n'est pas le problème. Vous n’avez pas dit exactement ce que "inaccessible" voulait dire (délai d’expiration, réinitialisation de la connexion, réponse HTTP interdite, erreur SSL, etc.), mais ce que j’ai obtenu lors de ma visite du site était un 404.

La première chose que vous devriez demander à votre hôte est donc "Les vhosts SSL et non-SSL ont-ils le même DocumentRoot?"

Je soupçonne qu'ils répondront qu'ils ne le font pas. C'est probablement mieux pour vous s'ils le font.

1
Ladadadada