دروپال میزبانی با SSL

HTTPS یک پروتکل که برای رمز گذاری درخواست های HTTP و پاسخ آنها است. این تضمین می کند که اگر کسی قادر به سازش شبکه بین کامپیوتر شما و سرور شما در حال از درخواست بودند، آنها قادر نخواهد بود برای گوش دادن در و یا اخلال در ارتباطات است.

هنگامی که شما از یک سایت بازدید طریق HTTPS، URL آن مثل این: https://drupal.org/user/login. هنگامی که شما یک سایت از طریق ساده (تکه تکه کردن) HTTP بازدید می کنید، آن را مانند این به نظر می رسد: drupal.org/user/login.

میزبانی

و چرا از آن برای شما مهم (و هنگامی که) است

HTTPS به طور معمول در شرایط استفاده که در آن کاربر به اطلاعات حساس به یک وب سایت و رهگیری آن اطلاعات ارسال می شود یک مشکل. معمولا، این اطلاعات شامل:

  • کارت های اعتباری
  • کوکی ها حساس مانند کوکی های نشست پی اچ پی
  • عبور و نام کاربری
  • اطلاعات شناسایی (شماره امنیت اجتماعی، شماره ID دولت، و غیره)
  • محتوای محرمانه

به خصوص در شرایطی که شما، به عنوان مدیر، در حال ارسال رمز عبور دروپال خود را و یا کلمه عبور FTP برای سرور خود را، شما باید HTTPS به کاهش خطر ابتلا به خطر انداختن وب سایت خود استفاده کنید در صورت امکان.

HTTPS همچنین می توانید استراق سمع از به دست آوردن کلید نشست تصدیق خود را، که یک کوکی از مرورگر خود را با هر درخواست به سایت فرستاده می شود، و با استفاده از آن را به شما رابجای دیگری جا زدن جلوگیری می کند. به عنوان مثال، یک مهاجم ممکن است دسترسی مدیریتی به سایت به دست آورید اگر شما یک مدیر سایت دسترسی به سایت از طریق HTTP HTTPS به جای هستند. این را به عنوان جلسه ربودن شناخته شده و می توان با ابزار مانند از Firesheep انجام می شود.

امنیت تعادل است. خدمت HTTPS هزینه های ترافیک در منابع از درخواست های HTTP (برای هر دو سرور و وب مرورگر) و به این دلیل شما ممکن است مایل به استفاده از مخلوط HTTP / HTTPS که در آن صاحب سایت می توانید تصمیم بگیرید که کدام صفحات و یا کاربران باید HTTPS استفاده کنید.

چگونگی فعال کردن پشتیبانی از HTTPS در دروپال

  1. دریافت گواهی نامه. بسیاری از ارائه دهندگان خدمات میزبانی این برای شما مجموعه ای - یا به طور خودکار و یا برای هزینه. شما همچنین می توانید رمزگذاری اجازه استفاده رایگان، خودکار است که، و باز کردن گواهی مجاز. اگر شما می خواهید به امن کردن سایت آزمون، شما به جای یک گواهی خود امضا را تولید کند.
  2. پیکربندی وب سرور خود را. چند لینک مفید:
    • دستورالعمل آپاچی.
    • دستورالعمل از Nginx
    • آموزش اوبونتو

    شانس هستند، سرویس دهنده خود را می توانید از این برای شما اگر شما با استفاده از اشتراک گذاشته و یا مدیریت میزبانی را انجام دهد.

    نکته: نشانیهای اینترنتی پاک اگر شما با استفاده آپاچی برای HTTP و HTTPS:

    شما احتمالا دو سطل های مختلف VirtualHost در.

    1. یک سطل برای پورت: 80 HTTP
    2. یک سطل برای پورت: 443 HTTPS

    هر یک از این ظروف VirtualHost یا سطل لازم است که یک بخشنامه خاص آپاچی توان در آنها اگر شما در حال استفاده از URL های پاک اضافه شده است. دلیل این است که دروپال باعث استفاده گسترده از htaccess را از mod_rewrite به ارائه آدرسهای دوستانه.

    دروپال میزبانی وب با سایت اس اس ال را از طریق HTTP و نه

    مطمئن شوید که در بر داشت زیر در دستور است، که یک کودک زیر ظرف VirtualHost در: مشاهده مستندات آپاچی برای AllowOverride

    این به این معنی است که .htaccess خود را تقدم و پیکربندی آپاچی اجازه خواهد داد که آن را به اجرا به عنوان شما می توانید برای دروپال انتظار می رود.

    عیب یابی:
    اگر قابلیت HTTPS و آن را تنها در صفحه اصلی کار می کند و لینک های خود را زیر شکسته، به این خاطر که VirtualHost در: 443 سطل نیاز AllowOverride همه را فعال کنید تا URL ها می تواند در حالی که در حالت HTTPS بازنویسی شده است.

    در دروپال 7، اگر شما می خواهید برای حمایت HTTPS مخلوط حالت و جلسات HTTP، باز کردن سایت های / پیش فرض / settings.php وجود و اضافه کردن $ کنفرانس [صفحه ی '] = TRUE ؛. این شما را قادر به استفاده از همان جلسه بیش از هر دو HTTP و HTTPS - اما با دو کوکی که در آن کوکی HTTPS را بر روی HTTPS تنها ارسال می شود. شما نیاز به استفاده از ماژول های مختلف مانند securepages به انجام هر کاری مفید با این حالت، مانند ارسال فرمهای بیش از HTTPS. در حالی که HTTP خود کوکی است هنوز هم در معرض حملات معمول است. کوکی جلسه ناامن ربوده تنها می توان برای به دست آوردن دسترسی تصدیق به سایت HTTP، و آن را نمی خواهد در سایت HTTPS معتبر. آیا این یک مشکل است یا نه بستگی به نیازهای سایت شما و تنظیمات مختلف ماژول. برای مثال، اگر تمام اشکال قرار است تا HTTPS بروید و بازدید کنندگان خود را می توانید به اطلاعات همان کاربران وارد شده را ببینید، این یک مشکل نیست.

    توجه داشته باشید که در دروپال 8، پشتیبانی مخلوط حالت حذف شده است # 2342593: حذف پشتیبانی از SSL مخلوط از هسته.

    امنیت بیشتر حتی بهتر، ارسال تمام ترافیک تصدیق از طریق HTTPS و HTTP استفاده برای جلسات ناشناس. در دروپال 8، نصب ماژول ورود به سیستم امن که در حل هشدارهای مخلوط محتوا. در دروپال 7، ترک $ کنفرانس [صفحه ی '] در مقدار پیش فرض است (نادرست) و نصب ایمن ورود. دروپال 7 و 8 به طور خودکار پیکربندی session.cookie_secure PHP در سایت های HTTPS، که باعث SSL کوکیهای فقط جلسه امن به به مرورگر صادر می شود را فعال کنید. در دروپال 6، نگاه کنید ماژول 443 جلسه و ورود امن کمک کرده است.

    برای بهترین امنیت ممکن است، راه اندازی سایت خود را به تنها HTTPS استفاده کنید، و پاسخ به تمام درخواست های HTTP با یک تغییر مسیر به سایت HTTPS خود را. دروپال 7 $ کنفرانس [صفحه ی '] را می توان در مقدار پیش فرض آن (FALSE) را در سایت های خالص HTTPS را ترک کرد. حتی پس از آن، HTTPS آسیب پذیر به حملات مردی در وسط است اگر اتصال شروع می شود به عنوان یک اتصال HTTP قبل از اینکه به HTTPS هدایت می شوید. استفاده از ماژول یا ماژول HSTS کیت های امنیتی. یا مجموعه ای از هدر-حمل و نقل و شدید امنیتی در وب سرور خود، و اضافه کردن دامنه خود را به مرورگر HSTS لیست پیش بارگذاری. برای کمک به جلوگیری از دسترسی کاربران سایت بدون HTTPS.

    شما ممکن است بخواهید به تغییر مسیر تمام ترافیک از example.com و www.example.com به https://example.com. شما می توانید این را با اضافه کردن کد زیر به فایل پیکربندی سرور خود را، به عنوان مثال تعاریف VirtualHost در را انجام دهید:

    استفاده از RewriteRule مناسب خواهد بود اگر شما دسترسی به فایل پیکربندی سرور اصلی را ندارد، و موظف به انجام این کار در یک فایل htaccess به جای:

    هستند نظر موجود در .htaccess را که توضیح دهد که چگونه به تغییر مسیر example.com به www.example.com (و بالعکس) وجود دارد، اما این کد را در اینجا تغییر مسیر هر دو از آن به https://example.com.

    bjdeliduka February 2015 ساعت 21:25 اظهار نظر 27

    عنوان موضوع می گوید. شادی.

    مشتری از معدن دارای مشتریان متعدد با دروپال 7 سایت است. ما در حال حرکت همه آنها را پشت سر CloudFlare را (www.cloudflare.com) ما آنها را Certs ارسل رایگان SSL، ذخیره وب، و DDoS حفاظت / کاهش. پس از آن ما فایروال سرور به تنها اتصالات از CF حافظه های پنهان قبول و مطمئن شوید که HTTP سرور واقعی در DNS ذکر نشده (سرویس گیرنده / مرورگرهای باید به سرور CF که پس از آن صفحات را از سرور واقعی واکشی متصل خواهد شد). دروپال و سرور (آپاچی 2.4 بر روی CentOS) همچنین از SSL استفاده به رمز در آوردن ارتباط بین CF و سرور (ممکن است به عنوان به خوبی همه چیز را نگه دارید از متن ساده)

    در حالی که به نظر می رسد در بالا و احساس می کند مانند یک راه حل عالی به بیمه تمام اتصالات رمزگذاری شده هستند ما یک مشکل با برخی از صفحات که به فریم که بار محتوای رمزگذاری مواجه می شوند. (مرورگرهای وب پرتاب خطا زمانی که این اتفاق می افتد و اغلب برای بارگذاری محتوای بدون دخالت کاربر حاضر).

    گزینه های شامل 1) راه اندازی یک پروکسی و رمزنگاری محتوای ناامن است. در حالی که از لحاظ فنی امکان آن را می دهد به کاربر این تصور جلسه امن است در حالی که برخی از محتوا است در متن ساده (هر چند نه به / از مشتری). 2) رها کردن محتوا تا آن را در دسترس از طریق اتصال امن (سرویس گیرنده / مشتری این گزینه را دوست ندارد) 3) صفحات نیروی که حاوی این محتوا به اتصالات تکه تکه کردن (HTTP) در حالی که بقیه از سایت رمزگذاری شده است.

    ما گزینه 3 را انتخاب کرد.

    سایت های قبلا پیکربندی بود به تغییر مسیر اتصال به HTTPS با استفاده از یک بازنویسی قانون در .htaccess (احتمالا حرکت خواهد کرد این را به فایل های vhost پیکربندی به دلایل عملکرد اما تنها در صورتی ما می توانیم در غیر فعال کردن فایل .htaccess دیدن همه موارد) به این ترتیب هر HTTP اتصال یک اتصال HTTPS شود.

    به طور معمول یک rewriterule می تواند در قالب ایجاد شده:

    برای گرفتن اتصال به صفحه با iframe را ناامن است. (بازنویسی تطبیق به HTTP و غیر تطبیق به https)

    سعی کنید این را با تمیز آدرس های فعال و شما هرگز در صفحه تکه تکه کردن، زیرا هر درخواست صفحه ارائه شده به دروپال کند یک پاس نهایی را از طریق موتور بازنویسی /index.php.

    من مطمئن نیستید دقیق از دلیل هستم، اما secure_pages شد یک گزینه قابل دوام در نظر گرفته نشده.

    راه حل نتیجه نهایی یک سری از خطوط / 13 کنید RewriteCond rewriterule که به طور موثر می تواند جایگزین ماژول secure_pages برای مجبور همه آنها به جز (1 یا بیشتر) صفحات به https انتخاب ارتباط چند است.

    / جریان-صفحه و صفحه ریشه سایت HTTP هستند بقیه سایت HTTPS است. صفحات اضافی می تواند از HTTPS با اضافه کردن امثال اضافی تحت / جریان-صفحه خط زیر آن را با فرمت حذف شدند.

    تنها جانبی شناخته شده را تحت تاثیر قرار از این کد این است که از ویرایش صفحهها، تکه تکه کردن پیچیده تر است به عنوان ADMIN_MENU قطره در صفحات تکه تکه کردن. نسخه 1.1 شامل یک روش غیر فعال کردن سمت HTTP را از یک مرورگر مشتریان (و در نتیجه خطاهای مرورگر است که توسعه دهندگان با عنوان حالی که ویرایش صفحات مورد نیاز برخورد خواهد کرد) من همچنین می خواهید یک دستورالعمل های دقیق تر نگاه کنید در قرار دادن این به فایل های htaccess را از بین بردن ناخواسته کد / غیر ضروری برای چیزهایی مانند www. سلب (و یا قبل از انتظار) و غیره

    selinav در 09:51 اظهار نظر 2017 آوریل 25

    Bairnsfather آوریل 2017 در 17:29 اظهار نظر 26

    من برای یک مدت طولانی با https://www.drupal.org/project/securepages بسیار خوشحال بوده است. فقط صفحه تنظیمات بارگذاری و یک علامت ستاره در این زمینه برای صفحاتی را که شما می خواهید امن، به عنوان مثال همه. من فکر می کنم این هشدار در بالای صفحه پروژه کهنه است؛ من ماژول بدون تکه استفاده می شود و یا اصلاح .htaccess را من برای چند منتشر 7.x و گذشته است. بررسی settings.php وجود خود را و مطمئن شوید که متغیر BASE_URL شامل HTTPS، HTTP نیست.

    [ویرایش] اما لطفا این را نه به عنوان حرف آخر را در حال حاضر بهترین روش برای تغییر مسیر تمام ترافیک به https این روز است. بر اساس خواندن اخیر، به نظر می رسد HSTS است که همه چیز به رهبری است.

    Bairnsfather در 17:30 اظهار نظر 2017 مه 9

    در اینجا چیزی است که من به نظر می رسد برای D7 کار D8 (به طور خاص به عنوان از 7.54 8.3.1 در آپاچی 2.4.5 با پی اچ پی 5.6.30) با استفاده از فایل .htaccess را سهام با تغییرات ذکر شده در زیر. به عبارت ساده، اکید-حمل و نقل و امنیت خط نمی ابتدا هدایت ترافیک از HTTP به HTTPS. (که خط در درخواست های HTTP دیده نمی شود و مرورگرهای قدیمی تر آن را درک نمی کند.) بنابراین در تغییر مسیر با RewriteRule. با این حال، برگ باز امکان از یک حمله MITM. اما امید است با DNSSEC و یک مرورگر مدرن است که درک HSTS، در کمتر از یک ثانیه مرورگر خود را به یاد داشته باشید (برای ثانیه حداکثر سن) به تنها منابع درخواست HTTPS، حتی اگر سایت شما و یا سایت دیگر یک لینک HTTP / منابع در آی تی. به عبارت دیگر یک بار مرورگر خود مدرن یک صفحه از طریق https بارهای از سایت خود را، مرورگر یاد می گیرد باید آن را دقیق و فقط HTTPS درخواست را، حتی اگر آن برخورد HTTP منبع یا لینک مشخص.

    اول، مطمئن شوید که شما سرور خود را در دسترس از طریق https و گواهینامه خود را شامل همه دامنه های فرعی استفاده می کنید. حداکثر سن در ثانیه است، آن را سفارشی برای نیازهای خود، و مطمئن شوید که به خواندن (حداقل) https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security (لینک RFC زیر کلیک کنید.)

    در زیر خطوط:

    سپس یک # در مقابل سه خط زیر قرار داده تا آنها اظهار نظر از؛ آن دیگر اعمال می شود از آنجایی که ما فقط مجبور تمام ترافیک به https. خطوط زیر در حال حاضر در فایل .htaccess و درست در زیر آنچه را که در جا به جا.

    همچنین توجه داشته باشید https://www.drupal.org/project/hsts HSTS ماژول دارای نسخه برای D7 D8. که خوب است اگر از شما اجرا multisite و همه حوزه های دارای گواهی نامه.

    شما می توانید همه چیز را با باز کردن برنامه ترمینال خود را تست کنید و حلقه -I دامنه خود را به روش های مختلف به بازرسی هدر.

    این ویدئو را تماشا کن!

    مقالات مرتبط

    7 41 دروپال میزبانی2013/07/23 13:22 EST برای درخواست با تشکر! بله، شما می توانید یک گواهینامه SSL به اشتراک گذاشته استفاده کنید. گواهینامه SSL به اشتراک گذاشته شده از پیش تعیین شده است، بنابراین هیچ تنظیمات انجام شده بر روی سمت سرور وجود دارد. لطفا...
    صفحه html معرفی وردپرس میزبانی وبدر وردپرس، شما می توانید مطالب را در سایت خود به صورت "پست" و یا "صفحه" قرار داده است. هنگامی که شما در حال نوشتن وبلاگ به طور منظم، شما نوشتن یک پست. پست ها، در راه اندازی به طور پیش فرض، در جهت معکوس به نظر می رسد ...
    وجهی آپاچی جستجو میزبانی solr دروپالتوجه: تشکر ویژه اضافی برای داگ وان برای ارائه انگیزه در نهایت به این پست وبلاگ پست! در اوایل 2016، زمانی که API جستجو و ماژول Solr مربوط برای دروپال 8 در آلفا اولیه بودند ...
    درست میزبانی دروپال ابزاراجرای مقدمه از یک جستجوی موثر یکی از مهمترین کارهایی است که در حال توسعه است، اما آن را نیز یک کلید برای موفقیت بسیاری از وب سایت ها و برنامه های کاربردی. جستجوی سریع و ...
    Webfm میزبانی ماژول دروپالمن ایجاد یک آرشیو وب سایت است که اجازه خواهد داد که به کاربران برای آپلود انواع مختلف محتوا رسانه ها از جمله ویدئو، صدا، تصاویر، اسناد و متن است. من می خواهم به آن را برای کاربران به آسان ...