7 habilidades que todo engenheiro deve ter, independentemente do ramo | Habilidades de engenharia

Recentemente, desenvolvi um site de incentivo para um banco europeu e um dos requisitos era SSL - o site exibe alguns dados pessoais do cliente (embora não haja dados financeiros ou realmente confidenciais).

O site está hospedado em uma plataforma compartilhada, e eu comprei um certificado SSL IP + Comodo exclusivo em meu host, eles cuidarão da instalação.

Na próxima segunda-feira, o site será testado por uma empresa de auditoria, então preciso ter certeza de que tudo está perfeitamente protegido. A própria aplicação web e o servidor estão perfeitamente protegidos de acordo com os requisitos (feito por um colega com habilidades decentes) - é apenas o SSL que ainda precisa ser instalado.

Minhas perguntas:

  • Isso requer configuração extra no código-fonte do site?
  • Isso significa que o site não pode ser acessado por http, e apenas por https? Meu host me disse que eu poderia ver o https como um extra recurso e http regular também permanecerão disponíveis. Então, como posso ter certeza de que todo o tráfego passa por https?

(Desculpem minhas perguntas noob - sou um designer, não um especialista em servidores - e não tenho absolutamente nenhuma experiência com SSL ..)

Obrigado!

  • Site bancário em plataforma compartilhada? Você está falando sério?

Não, nenhuma configuração extra é necessária no código-fonte do site.O HTTPS é gerenciado pelo servidor da web e deve ser amplamente transparente para a base de código do seu site. No entanto, você deve se certificar de que nenhum link interno está codificado com "http", pois eles (possivelmente) tirarão o usuário da transação criptografada. Mesmo que isso não aconteça, esses links possivelmente irão gerar um aviso de segurança se forem para imagens incorporadas, etc.

É possível permitir o acesso HTTP e HTTPS ao mesmo tempo ao mesmo site. Este é um problema de configuração do servidor da web e só importa para o código do site, pois você precisa considerar a forma de links absolutos, conforme mencionado acima. É comum que os sites façam parte dele usando HTTP e, em seguida, exijam HTTPS para outros pars (por exemplo, login, etc.).

Em resumo, isso é quase inteiramente um problema de configuração do servidor e você não deve se preocupar com isso além dos links relativos.

  • obrigado pela resposta detalhada, sem links http codificados - então acho que não há mais nada com que se preocupar ...
  • desculpe incomodá-lo novamente, mas você é minha melhor chance: o certificado foi instalado, mas não está funcionando. Meu webhost me diz que 'meu aplicativo provavelmente não suporta SSL', e me pediu para definir uma variável SSL para true no meu código php - você pode me apontar na direção certa, eu não tenho a menor ideia (e o google também não me ajuda) ...

/etc/rc.d/init.d/iptables

neste adicionar esta linha

-A RH-Firewall-1-INPUT -p tcp -m estado --estado NOVO -m tcp --dport 443 -j ACEITAR

  • 1 Geralmente não é ideal jogar uma string gigante de código / configuração nas pessoas sem qualquer explicação. Você se importa em expandir isso ou fornecer um link de referência para que pelo menos saibam qual será o resultado? (por exemplo, muitos usuários nem mesmo terão acesso para fazer esta edição)
  • Não há informações suficientes para determinar se o firewall é o problema. É provável que seu provedor de host já tenha a porta 443 aberta quando instalou o certificado. Não há indicação de que ele esteja executando uma distribuição baseada em RedHat, ou mesmo Linux. É provável que ele não tenha acesso SSH à caixa, acho que ele pode até ter afirmado isso em outra pergunta.

funcionou para você: Charles Robertson | Quer entrar em contato conosco?