Forcer HTTPS » Historique » Version 2
Stéphane Boireau, 02/12/2009 20:52
| 1 | 1 | Stéphane Boireau | h1. Forcer la connexion en HTTPS |
|---|---|---|---|
| 2 | |||
| 3 | Sur un serveur qui propose un service web sur ports 80 et 443, on peut souhaiter que les connexions sur Gepi ne se fassent qu'en HTTPS. |
||
| 4 | Plusieurs propositions ont été faites sur gepi-users... fonction de la situation (contrôle du serveur ou non,...) |
||
| 5 | |||
| 6 | Dans la config d'apache: |
||
| 7 | |||
| 8 | 2 | Stéphane Boireau | <pre> |
| 9 | 1 | Stéphane Boireau | <Directory /var/www/gepi151/> |
| 10 | AllowOverride All |
||
| 11 | RewriteEngine on |
||
| 12 | RewriteBase /var/www/gepi |
||
| 13 | RewriteCond %{SERVER_PORTS} !^443$ |
||
| 14 | RewriteRule ^(.*)?$ https://%{SERVER_NAME}/gepi/ [L,R] |
||
| 15 | </Directory> |
||
| 16 | 2 | Stéphane Boireau | </pre> |
| 17 | 1 | Stéphane Boireau | |
| 18 | Ou en modifiant le login.php: |
||
| 19 | |||
| 20 | 2 | Stéphane Boireau | <pre> |
| 21 | 1 | Stéphane Boireau | // securite obligation d'utiliser le https |
| 22 | if($_SERVER['SERVER_PORT'] != 443) |
||
| 23 | { |
||
| 24 | header('Location: https://url_de_ton_site/gepi/'); |
||
| 25 | exit; |
||
| 26 | } |
||
| 27 | 2 | Stéphane Boireau | </pre> |
| 28 | 1 | Stéphane Boireau | |
| 29 | On peut aussi déclarer un virtualhost pour le port 443 avec une racine séparée de celle du port 80: |
||
| 30 | /var/wwws pour l'un et /var/www pour l'autre. |