web-dev-qa-db-fra.com

Le site https nécessite-t-il une configuration supplémentaire après l'installation du certificat SSL?

J'ai récemment développé un site Web sur les incitations financières pour une banque européenne. L'une des exigences était SSL (le site Web affiche certaines données personnelles sur les clients (sans données financières ou très sensibles).

Le site Web est hébergé sur une plate-forme partagée et j'ai acheté un certificat unique IP + Comodo SSL auprès de mon hébergeur. Ils se chargeront de l'installation.

Lundi prochain, le site Web sera testé par une société d'audit. Par conséquent, je dois m'assurer que tout est parfaitement sécurisé. L’application Web elle-même et le serveur sont parfaitement sécurisés conformément aux exigences (définies par un collègue doté de compétences suffisantes) - il ne reste plus que le protocole SSL à installer.

Mes questions:

  • Est-ce que cela nécessite une configuration supplémentaire dans le code source du site?
  • Cela signifie-t-il que le site Web ne peut pas être atteint via http et uniquement via https? Mon hébergeur m'a dit que je pouvais voir le https comme une fonctionnalité supplémentaire , et que le http habituel restera également disponible. Alors, comment puis-je être sûr que tout le trafic passe par https?

(Désolé pour mes questions concernant noob - je suis un designer, pas un spécialiste des serveurs - et je n'ai absolument aucune expérience de SSL ..)

Merci!

securityhttpssecurity-certificate
6
ptriek

Non, aucune configuration supplémentaire n'est requise dans le code source du site Web. Le HTTPS est géré par le serveur Web et doit être en grande partie transparent pour le code base de votre site Web. Vous devez toutefois vous assurer qu'aucune des liaisons internes n'est codée en dur en commençant par "http", car elles extrairont (éventuellement) l'utilisateur de la transaction chiffrée. Même si ce n’est pas le cas, ces liens déclencheront éventuellement un avertissement de sécurité s’ils concernent des images incorporées, etc.

Il est possible d'autoriser simultanément les accès HTTP et HTTPS au même site. Il s'agit d'un problème de configuration de serveur Web et ne concerne que le code du site Web, car vous devez tenir compte de la forme des liens absolus mentionnés ci-dessus. Il est courant que les sites en utilisent une partie via HTTP, puis requièrent le protocole HTTPS pour les autres analyses (par exemple, la connexion, etc.).

En résumé, il s'agit presque entièrement d'un problème de configuration de serveur et vous ne devriez pas avoir à vous en préoccuper en dehors des liens relatifs.

5
Kris

/etc/rc.d/init.d/iptables

dans cette vous ajoute cette ligne

-A RH-Firewall-1-INPUT -p tcp -m état --état NOUVEAU -m tcp --dport 443 -j ACCEPTER

0
rohan