Forcer HTTPS » Historique » Version 1
Stéphane Boireau, 02/12/2009 20:51
1 | 1 | Stéphane Boireau | h1. Forcer la connexion en HTTPS |
---|---|---|---|
2 | |||
3 | Sur un serveur qui propose un service web sur ports 80 et 443, on peut souhaiter que les connexions sur Gepi ne se fassent qu'en HTTPS. |
||
4 | Plusieurs propositions ont été faites sur gepi-users... fonction de la situation (contrôle du serveur ou non,...) |
||
5 | |||
6 | Dans la config d'apache: |
||
7 | |||
8 | <Directory /var/www/gepi151/> |
||
9 | AllowOverride All |
||
10 | RewriteEngine on |
||
11 | RewriteBase /var/www/gepi |
||
12 | RewriteCond %{SERVER_PORTS} !^443$ |
||
13 | RewriteRule ^(.*)?$ https://%{SERVER_NAME}/gepi/ [L,R] |
||
14 | </Directory> |
||
15 | |||
16 | Ou en modifiant le login.php: |
||
17 | |||
18 | // securite obligation d'utiliser le https |
||
19 | if($_SERVER['SERVER_PORT'] != 443) |
||
20 | { |
||
21 | header('Location: https://url_de_ton_site/gepi/'); |
||
22 | exit; |
||
23 | } |
||
24 | |||
25 | On peut aussi déclarer un virtualhost pour le port 443 avec une racine séparée de celle du port 80: |
||
26 | /var/wwws pour l'un et /var/www pour l'autre. |