HTTP vs HTTPS

[NiceMan]

Eli ongelmana on että kotiservulla sivuille pääsee käsiksi HTTPS:// mutta HTTP:// ei toimi....

Ehdotuksia ?

[Tomin]

Eli httpkö ei yhdistä ollenkaan? Millaisella osoitteella kokeilit? Ulkoverkosta, sisäverkosta vai samalta koneelta (localhost)?

[NiceMan]

https://www.theniceman.com/coppermine/

Esim tuo, on oma serveri jossa sijaitsee.

http://www.theniceman.com/coppermine/

Tämä taas ei toimi.

[jekku]

Palvelimen asetukset tarkistettu?

[NiceMan]

Palvelimen asetukset tarkistettu?

Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.

Käyttiksenä on Ubuntu 16.x LTS

[_Pete_]

Palvelimen asetukset tarkistettu?

Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.

Käyttiksenä on Ubuntu 16.x LTS

Ylläpidätkö itse www-pavelinta vai onko tuo joku weppihotelli ?

[NiceMan]

Se on minun oma serveri joka sijaitsee vaatehuoneessa, suurin homma mitä se tekee on pyörittää perheen pilvipalvelinta OwnCloud ja nämä sivut on extraa.

[jekku]

Palvelimen asetukset tarkistettu?

Tässä juuri että mitä ja mistä... Olen amatööri näiden kanssa, yritin googlettaa kun muistan että jossain oli ohje jolla voi pakottaa yhteyden salatuksi vaikka tulisi ilman "S" kirjaita.... Aikaisemmin on toiminut mutta jossain välissä lopettanut... Nyt vasta saannut aikaa perehtyä tähän.

Käyttiksenä on Ubuntu 16.x LTS

Noin oikopäätä tulee mieleeni uudelleenohjaus https-yhteyteen.
Mutta kerro toki jos löydät tempun jolla http-prokolla käyttää salattua...

[NiceMan]

Ei voi pakottaa mutta teki että jos tulee http: niin pakottaa vaihtamaan lennosta https:n mutta itselle ei tarvitse tuota pakotusta mutta tahtoisin että http: toivii normaalisti ilman salausta...

[jekku]

Ei voi pakottaa mutta teki että jos tulee http: niin pakottaa vaihtamaan lennosta https:n mutta itselle ei tarvitse tuota pakotusta mutta tahtoisin että http: toivii normaalisti ilman salausta...

Aloitapa tutkimalla mitä majailee hakemistossa:
/etc/apache2/
jossa kiinnostavia kohteita ainakin:
/etc/apache2/apache2.conf
ja
/etc/apache2/ports.conf

[NiceMan]

Mutex file:${APACHE_LOCK_DIR} default

PidFile ${APACHE_PID_FILE}

Timeout 300


KeepAlive On


MaxKeepAliveRequests 500


KeepAliveTimeout 5


# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}


HostnameLookups Off


ErrorLog ${APACHE_LOG_DIR}/error.log


LogLevel warn

# Include module configuration:
IncludeOptional mods-enabled/*.load
IncludeOptional mods-enabled/*.conf

# Include list of ports to listen on
Include ports.conf



# access here, or in any related virtual host.
<Directory />
   Options FollowSymLinks
   AllowOverride None
   Require all denied
</Directory>

<Directory /usr/share>
   AllowOverride None
   Require all granted
</Directory>

<Directory /var/www/>
   Options Indexes FollowSymLinks
   AllowOverride None
   Require all granted
</Directory>

#<Directory /srv/>
#   Options Indexes FollowSymLinks
#   AllowOverride None
#   Require all granted
#</Directory>





#
AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
   Require all denied
</FilesMatch>


#

#
# Note that the use of %{X-Forwarded-For}i instead of %h is not recommended.
# Use mod_remoteip instead.
#
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

# Include of directories ignores editors' and dpkg's backup files,
# see README.Debian for details.

# Include generic snippets of statements
IncludeOptional conf-enabled/*.conf

# Include the virtual host configurations:
IncludeOptional sites-enabled/*.conf
#<Directory "/var/www/forum">
#</Directory>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[NiceMan]

Port:

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

#NameVirtualHost *:80

#Listen 80
#Listen 8080
Listen 0.0.0.0:80

<IfModule ssl_module>
Listen 443
</IfModule>

<IfModule mod_gnutls.c>
#   Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[NiceMan]

Sites-enabled hakemistossa on default-ssl.conf :
Tuossa on ikivanha ip osoitteeni joka on vaihtunut niin mihin tuo vaikuttaa ? Paksunnettu kohta

<IfModule mod_ssl.c>
   <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
      ServerName 84.248.88.147
           ServerAlias 84.248.88.147
      DocumentRoot /var/www/html

   

      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined

      

      #   SSL Engine Switch:
      #   Enable/Disable SSL for this virtual host.
      SSLEngine on


      SSLCertificateFile /etc/apache2/ssl/apache.crt
      SSLCertificateKeyFile /etc/apache2/ssl/apache.key

      #   Server Certificate Chain:

      #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

      
      #SSLCACertificatePath /etc/ssl/certs/
      #SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

      
      #SSLCARevocationPath /etc/apache2/ssl.crl/
      #SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

   
      #SSLVerifyClient require
      #SSLVerifyDepth  10

      
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
            SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
            SSLOptions +StdEnvVars
      </Directory>

      
      BrowserMatch "MSIE [2-6]" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
      # MSIE 7 and newer should be able to use keepalive
      BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

   </VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[jekku]

Perehdy nyt kuitenkin hiukan mitä nuo rivit tarkoittavat.

Ja sitten kurkkaat onko tuo
 /etc/apache2/sites-enabled/000-default.conf
kuten haluat.

[NiceMan]

Perehdy nyt kuitenkin hiukan mitä nuo rivit tarkoittavat.

Ja sitten kurkkaat onko tuo
 /etc/apache2/sites-enabled/000-default.conf
kuten haluat.

En tiedä miten sen haluaisin olla...


<VirtualHost *:80>

<IfModule mod_headers.c>

  Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"

</IfModule>

   
   #ServerName www.example.com

   ServerAdmin webmaster@localhost
 DocumentRoot /var/www/html

   

   ErrorLog ${APACHE_LOG_DIR}/error.log
   CustomLog ${APACHE_LOG_DIR}/access.log combined
   ProxyPassMatch ^/(.*\.php(/.*)?)$ unix:/run/php/php7.0-fpm.sock|fcgi://localhost/var/www/html/

   
</VirtualHost>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[jekku]

En muuten löytänyt vastaustasi kysymykseen jonka Tomin esiti jo alkuketjussa?
Eli toimiiko http-yhteys sisäverkostasi paikallisella osoitteella?

Onko muuten joku syy miksi haluat sen http:n auki ulkomaailmaan?

[NiceMan]

En muuten löytänyt vastaustasi kysymykseen jonka Tomin esiti jo alkuketjussa?
Eli toimiiko http-yhteys sisäverkostasi paikallisella osoitteella?

Onko muuten joku syy miksi haluat sen http:n auki ulkomaailmaan?

Ei toimi sisäverkon kauttakaan enään, syy miksi haluan http:n toimii on kun joku aina valittaa että voi menne sivuilleni koska olen salaus avaimen itse luonnut enkä ostanut kun selaimet tästä varoittaa että ei ole "virallinen"....
Muuten ei olisi väliä kun kaikki uskalla/osaa tehdä poikkeusta selaimeen että hyväksyisi luomani avaimen...

[jekku]

Oletko tuota kuukeloinut:
Strict-Transport-Security

Kun sinulla on konffissasi moinen pala (tyhjät rivit poistettu):

Koodia: [Valitse]

...
<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
...

Ja siitä kerrotaan mm:

HTTP Strict Transport Security is a web security policy mechanism that helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers should interact with it using only secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797. More at "Wikipedia"

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Nykyisin on tarjolla myös ilmaisia sertifikaatteja, täälläkin on kerrottu ihan hiljakkoin.
Muistaakseni siinä Huawei -ketjussa viimeksi, Tomin vinkkasi.

Pikaisena testinä poistaisin nuo rivit.
Apassin reload tai mieluummin restart ja kokeilu.

Ja testin jälkeen takaisin

En ole koskaan käyttänyt tuota, eli ei kokemusta.

[NiceMan]

Kiitos vinkistä, testailen =)

[jekku]

Ja osuipa silmiini se mainitsemani vihje ilmaisesta sertifikaatista.
Muistaakseni olen joskus jopa kokeillut, mutta nykyisin ei tarvetta.

"Tosta oma sertifikaatti helposti, jos vaan on pääsy komentoriville: https://certbot.eff.org/ "