Fórum Root.cz
Hlavní témata => Server => Téma založeno: VriTECH 07. 11. 2016, 20:22:18
-
Dobrý večer všem ve spolek :-)
V pátek jsem se rozhodl že konečně přejdu na SSL certifikaci pomocí certifikační autority let's encrypt na hostingu Wedos.
Dnes mi byla žádost vyřízena a vše proběhlo v pořádku ale moje stránky podporují jak HTTP tak i HTTPS.
Snažím se o přesměrování požadavků HTTP na HTTPS v souboru .htaccess.
A to pro všechny "domeny", "subdomeny", "aliasy".
Ale moje znalosti Apache už nejsou to co bejvaly :o
WEDOS .htaccess
RewriteEngine On
# cele domeny (aliasy)
RewriteCond %{REQUEST_URI} !^domains/
RewriteCond %{REQUEST_URI} !^/domains/
RewriteCond %{HTTP_HOST} ^(www\.)?(.*)$
RewriteCond %{DOCUMENT_ROOT}/domains/%2 -d
RewriteRule (.*) domains/%2/$1 [DPI]
# subdomeny (s nebo bez www na zacatku)
RewriteCond %{REQUEST_URI} !^subdom/
RewriteCond %{REQUEST_URI} !^/subdom/
RewriteCond %{HTTP_HOST} ^(www\.)?(.*)\.([^\.]*)\.([^\.]*)$
RewriteCond %{DOCUMENT_ROOT}/subdom/%2 -d
RewriteRule (.*) subdom/%2/$1 [DPI]
# aliasy - spravne presmerovani pri chybejicim /
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^domains/[^/]+/(.+[^/])$ /$1/ [R]
# subdomeny - spravne presmerovani pri chybejicim /
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^subdom/[^/]+/(.+[^/])$ /$1/ [R]
PS:
Psal jsem na podporu Wedosu a tam mě bylo řečeno že mě s tímhle nepomůžou.
To že něco neumím nastavit je můj problém a vynucené HTTPS po přechodu na SSL by mohli mít aspoň jako možnost v administraci :-/
-
Málokterý webhosting má tak dobře nastavený kořenový htaccess že je zajištěna funkčnost web stránky s WWW a bez WWW i dobře nastavené subdomény a aliasy o to víc mě mrzí že toto nastavení po přechodu na HTTPS nechají na uživateli.
Pamatuji si jak WEDOS na Webtrhu psal že nastavení htaccess je pokročilá znalost která je pro programátory a né pro technickou podporu.
Bohužel ani já nevím jak korektně editovat htaccess pro vše.
-
Kdyz uz si clovek plati SNI, mohli by mu pomoci nastavit htaccess. Prece jenom uz je dodavanej u webhostingu a je specificky nastavenej pro strom slozek co tam maj. ja mam jen adresu ve formatu www.neco.cz ale kdybych mel subdomenu nebo alias atd. tak taky nevim jak to nastavit.
-
Já jsem tyhle brikule s htaccess na webhostinzích už dávno vzdal a řeším to podle situace přes php.
Něco jako:
<?php
if ($_SERVER['SERVER_NAME']=="domena.cz") {
header("Location: https://www.domena.cz".$_SERVER['REQUEST_URI']."",TRUE,301);
}
if (!isset($_SERVER['HTTPS'])) {
header("Location: https://www.domena.cz".$_SERVER['REQUEST_URI']."",TRUE,301);
}
?>
Což je velmi jednoduchý příklad, samozřejmě se to dá hezky rozvinout dle potřeby.
Člověk pak není odkázán na libovůli správce webhostingového serveru.
-
Oficialni Let's Encrypt client mi do ne-ssl virtualhostu pridal nakonec:
RewriteEngine on
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [L,QSA,R=permanent]
a pote si vytvoril svuj virtualhost. Jednoduche a funkcni.
-
tuxmartin: Leda hovno kamo neco podobneho mam taky sice nastavene ale pro hosting wedos a jejich system slozek se to vubec nehodi prave a o tom to cele je.
-
Znam story ze wedos donasel kriminalce kdyz mel nekdo tor nody apod. Ja bych k nim nesel
-
Podle me zijeme v dobe bananu (bananova republika) pochybuji ze by nejaka webhostingova spolecnost sama o sobe donasela cokoliv kriminalce a jestli ano tak jen proto ze ta kriminalka si o to rekla (jestli mela povoleni nebo ne uz je vec jina)
Nedavno jsem byl na konferenci o DNSSEC kde bylo receno ze spolecnost Wedos zacne tuto implementaci automaticky davat na .cz domeny zajimave ale je ze wedos.cz (DNSSEC) nema.
Káží vodu, pijí víno…
Pravda je ze Wedos ma nejlepsi podporu pro zakazniky a tak me to nedalo a poprosil jsem aby se k tematu pan Josef Grill vyjadril tak uvidime.
-
Zóna Wedos.cz je podepsaná, chybí jen delegace z .cz. Zřejmě tedy chybí poslední administrativní krok, kterým je vystavení DS záznamů v nadřazené zóně.
-
Zóna Wedos.cz je podepsaná, chybí jen delegace z .cz. Zřejmě tedy chybí poslední administrativní krok, kterým je vystavení DS záznamů v nadřazené zóně.
Tyto informace jste získal jak ?
-
Prostým dotazem do DNS. Příkazem dig.
-
Tohle by nefungovalo?
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
-
http://www.paranoia.cz/tools/dig
Zadal jsem wedos.cz
Ale stále nechápu jak jste tyto informace vyčetl.
Můžete být konkrétnější?
-
Tohle není dig, tahle věc neumí prakticky nic, jen vrátit jeden ze tří druhu záznamů a to je žalostně málo. Je třeba mít dig a používat validující resolver (stačí čtyři osmičky od Google). Pak se můžu zeptat na záznam Wedos.cz:
$ dig wedos.cz a
…
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 3
…
Zřetelně tam chybí AD flag (Authenticated Data), takže informace ze zóny nemohly být ověřeny. Přesto jsou data v zóně podepsaná, jak se můžeme snadno přesvědčit:
$ dig wedos.cz a +dnssec +multi
…
;; ANSWER SECTION:
wedos.cz. 300 IN A 46.28.104.85
wedos.cz. 300 IN RRSIG A 7 2 300 (
20161125160130 20161026162023 42647 wedos.cz.
mIifyMgwowMFfMVrEhZM2WoOXKHUkbMFH8kH2bLrLTyu
WhQNYyTdIclZ6t6pKsu59vpwHCQRRzWHTlMbXfsG9Q== )
…
V zóně je správně i veřejný klíč:
$ dig wedos.cz dnskey +dnssec +multi
…
;; ANSWER SECTION:
wedos.cz. 1800 IN DNSKEY 257 3 7 (
AwEAAcscblDllNZR0QA5p/j8k8wLoZ353GELoxNpccFM
4a0SzPKMRv/WYaz0aX3uKNxH7bsZd6Wq9HeR9oZxwFHe
UKOQZzUhPzHGy6xZ4fZ0ILgiAXC14ZjLWAZZlP0C96NE
F64SoFoUDUjq66IiJGa3QeXcfwEzXPY/dG2FWYsWImhJ
) ; KSK; alg = NSEC3RSASHA1; key id = 33900
…
Ale když se zeptáme nadřazených serverů pro doménu .CZ, tak zóna neobsahuje DS záznam s otiskem klíče, který se pak má hledat v podřazené zóně.
$ dig wedos.cz ds @a.ns.nic.cz +dnssec +multi
Ergo řetěz je roztržený a zóna .CZ tak vlastně tvrdí, že doména wedos.cz podepsaná není a tedy se už ani v resolveru nevaliduje.
-
Zóna Wedos.cz je podepsaná, chybí jen delegace z .cz. Zřejmě tedy chybí poslední administrativní krok, kterým je vystavení DS záznamů v nadřazené zóně.
;D
Zóna Wedos.cz je podepsaná, chybí jen delegace z .cz. Zřejmě tedy chybí poslední administrativní krok, kterým je vystavení DS záznamů v nadřazené zóně.
Tyto informace jste získal jak ?
;D
cemu se smat driv, tady ta uroven opravdu klesa globalne