如何在没有证书的情况下将HTTPS请求重定向到HTTP(Apache VirtualHosts)并避免出现证书警告

时间:2015-08-21 14:41:48

标签: linux apache ssl https centos

  

我首先要说的是,这不是一个好的做法,我们应该努力在100%的时间内在HTTPS上拥有一切,但在这种情况下,我对一个没有保存敏感信息的系统有一系列尴尬的要求。当我更年轻的时候回答这个问题时,我对HTTPS / TLS的工作方式一无所知,但是由于它得到了相当多的关注,所以已经将它留在原地以帮助其他人。 I recommend reading Oreily's TLS 101 if you're interested.   您现在可以使用我完全推荐的Let's Encrypt获得免费的TLS证书。最后,如果您使用的是默认的Apache配置,请在输入您的apache版本后查看Mozilla's SSL config generator选择“Modern”。

我在一台apache服务器上托管了几个单独的网站:

site.com

site.com将所有用户从应用程序内重定向到HTTPS。

example.com

example.com是一个HTTP网站,HTTPS请求重定向到HTTP

为了意外请求https://example.com而不是http://example.com无法获取site.com(由于只使用了一个HTTPS vhost而成为默认网站),我需要设置https vhost for example.com但我必须使用自签名证书,因为该站点没有理由使用SSL。

这意味着当有人访问https://example.com时,他们会看到SSL自签名的浏览器警告页面,然后一旦他们点击继续,他们就会被重定向到HTTP

有没有办法在没有证书的情况下将HTTPS请求重定向到HTTP

这是当前的vhost:

<VirtualHost *:443>
        ServerName about.example.com:443

        DocumentRoot "/directory"
        <Directory "/directoy">
                AllowOverride All
                Require all granted
        </Directory>

        RewriteEngine On
        RewriteCond %{HTTPS} on
        RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}

        SSLEngine on
        SSLCertificateFile /etc/httpd/ssl/ExampleCOM.pem
        SSLCertificateKeyFile /etc/httpd/ssl/AboutExampleCOM-key.pem
        Header always set Strict-Transport-Security "max-age=15768000"
</VirtualHost>

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on

# Disabled to avoid CRIME attack
SSLCompression          off

# this usually compromises perfect forward secrecy
SSLSessionTickets       off

# OCSP Stapling, httpd 2.3.3 or later
SSLUseStapling          on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache        shmcb:/var/run/ocsp(128000)

2 个答案:

答案 0 :(得分:10)

从根本上说,这是一个问题。当通过HTTPS进行通信时,在交换任何内容之前建立TLS通信层,即在传输关于网站的任何信息之前发生关于证书的警告。因此,当定义https,自签名或不签名时,需要一个证书来允许浏览器连接。

理想情况下,对于“最佳实践”,我们应该鼓励人们使用HTTPS作为默认值(我意识到这是一项费用,并且可能会因证书而烦恼,而且自我应该没有任何问题签名证书,经常有问题和浏览器消息等。)

即使您有一个“只能执行http”的应用程序服务器,最佳做法通常是使用Web服务器(例如nginx或lighthttpd或某种形式的负载均衡器)支持该应用程序服务器,这也将提供您的https终止。 - 您似乎已经使用httprewrite将请求转发到您的网站。

您可能会找到一些安装在大多数浏览器中的廉价SSL证书提供商吗?

答案 1 :(得分:5)

简短回答。没有的方法来做到这一点。

在任何类型的重定向发生之前,与https的连接发生。你唯一能做的就是购买证书。如今,常规域名证书非常便宜。

您可以获得 $ 4.99 / yr 的有效域名证书。然后执行重定向,以便覆盖https和http。

或者您可以关闭443 vhost,但用户将收到404或连接错误页面。如果他们尝试https。

这些是您的选择。您的用户将始终获得警告页面,只要它是自签名的并且是设计的。