Vimexx Facebook

Onderwerp: Hoe forceer ik https naar domeinnaam.nl/webmail

23-02-2020 12:08

Ik heb een ssl certificaat geinstalleerd via directadmin. ik heb .htaccess aangepast met :

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !https
SetEnvIf X-Forwarded-Proto "https" HTTPS=on
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

alle verzoeken worden nu geforceerd naar https://

BEHALVE domeinnaam.nl/webmail

HTTPS werk wel maar verzoeken worden niet geforceerd naar https://

dus HTTP://  werkt ook nog

Dat laatste wil ik dus voorkomen.

Wim

 

23-02-2020 12:28
#2445

RewriteEngine On

RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteCond %{HTTP_HOST} ^nieuwsberichten\.eu [NC]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ http://nieuwsberichten.eu/$1 [R,L]

Probeer dit eens, en laat ,ij even weten of het zo lukt

23-02-2020 12:42
#2446

Nu dat je wellicht alles werkende hebt gekregen ben je er nog lang niet.

Via deze website kan je een test uitvoeren

Je zult zien dat alles op rood komt te staan, betekend dat je nog veel meer werk hebt om je SSL certificaat perfect werkend te krijgen zoals het hoort te werken.

Echter nu vooraf het volgende, het kan zijn dat de volgende HEADERS aangepast moeten worden, zodat ze wel werken

en dat is de HEADERS

  1. content-security-policy
  2. Feature-Policy:
  3. X-Cache-Lookup:
  4. Access-Control-Allow-Origin

Al heb je al het volgende staan in je htaccess bestand <IfModule mod_headers.c> dan moet je vanaf dat wat hieronder staat erin toevoegen

<IfModule mod_headers.c>
Header always set content-security-policy: "require-sri-for 'script' 'unsafe-eval'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';"
Header set Connection keep-alive
Header always set Vary: "Accept-Encoding;"
Header always set Connection: "close;"
Header always set Content-Language: nl-BE
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header always set Expect-Staple: "max-age=31536000; includeSubDomains; preload"
Header always set X-Download-Options: noopen
Header always set X-Permitted-Cross-Domain-Policies: all
Header always set X-Content-Type-Options "nosniff"
Header always set X-Clacks-Overhead: "GNU Terry Pratchett"
Header always set X-Cache-Lookup: "HIT from JOUWWEBSITE.eu:443"
Header always set X-Served-By: cache-iad2120-IAD
Header always set X-Cache: HIT
Header always set X-Cache-Hits: 1
Header always set X-frame-options "deny"
Header always set X-XSS-Protection: "1; mode=block
Header always set X-DNS-Prefetch-Control: "on"
Header always set X-Fastcgi-Cache: EXPIRED
Header always unset "X-Powered-By"
Header unset "X-Powered-By"
Header set X-UA-Compatible: "IE=edge"
Header always set Referrer-Policy "strict-origin"
Header always set Expect-CT: "enforce, max-age=31536000"
Header always set Feature-Policy: "autoplay 'none', fullscreen 'self', picture-in-picture 'self', midi 'self', sync-xhr 'self', microphone 'self', camera 'self', magnetometer 'self', gyroscope 'self', speaker 'self', vibrate 'self', payment 'self';"
Header always set Access-Control-Allow-Origin: https://JOUWWEBSITE.eu
Header always set Access-Control-Allow-Methods: "POST, GET, OPTIONS"
Header always set Access-Control-Request-Method: "POST, GET"
Header always set Access-Control-Request-Headers: "X-PINGOTHER, Content-Type"
Header always set Access-Control-Allow-Credentials: "true"
Header always set Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Header always set Access-Control-Max-Age: "3600"
Header always set Cache-Control: "max-age=31536000, public, s-maxage=20"
Header always set Access-Control-Expose-Headers: "X-Custom-Header"
Header set Accept-Encoding: "br;q=1.0, gzip;q=0.8, *;q=0.1"
Header set Date: "Sat, 22 Befr 2020 04:23:38 GMT"
Header set Last-Modified: "Sat, 22 Febr 2020 21:52:06 GMT"
Header set Accept-Ranges: "bytes"
Header always edit Set-Cookie (.*) "$1; Secure; HttpOnly; max-age=3600; includeSubdomains; SameSite=Strict"
</IfModule>

Kijk dat alle functies werken van de website, zoals artikelen maken en of navigatie. Als dat het geval is, voer dan nogmaals de TEST uit met de link die ik je gestuurd heb.

 

23-02-2020 13:40
#2447

Kan komen door dat Force SSL niet meer aanstond?

Kijk voor de zekerheid ook even na in DirectAdmin bij Domeininstellingen of die ook nog goed ingesteld staat.

 

23-02-2020 15:03
#2448

Inderdaad Force SSL was niet aangevinkt in de Domeininstellingen.

na Flush RedisCache is alles oke.

de andere suggesties komen op een later tijdstip aan de orde (securityheaders)

Bedankt Klaas 0

 

23-02-2020 18:22
#2449

soms is het even over het hoofd zien, echter antwoord terug krijgen op de vragen gaat traag of helemaal niet in het forum.

De (securityheaders) ben ik de laatste tijd aan het verfijnen en nieuwe eraan toe te voegen om alles perfect te laten werken zoals het hoort.

Gehele tekst en uitleg kan men ook hier vinden over HTTP Beveiliging Let's Encrypt SSL Certificaat Headers

Fijne dag verder Wim V

24-02-2020 08:58
#2450

Hallo Klaas O,

Ik heb ondertussen mijn sites allemaal op de A status. Headers Content Security Policy (CSP) is nog een dingetje.

Ik ga de pagina's op jouw site hierover maar eens goed lezen.

Veel dank

 

24-02-2020 13:29
#2453

Hoi Wim,

Lees even de volgende topic

Onderwerp: Apache: Enabling OCSP Stapling

Daar staan 3 testen die men uit kunt voeren, die websites is gespecialiseerd

met de Headers Content Security Policy (CSP) ben ik ook weer mee bezig, gezien dat ik die maar niet goed krijg zoals het behoord te zijn. Ondanks dat men wel alles GROEN hebt, is absoluut geen garantie op die website dat de Headers goed ingesteld staan. Voer de test uit in de topic ik eerder vernoemd hebt.

Rectificatie

De http naar https moet een redirect hebben, en dat behoord zo te zijn, let wel even op er staat in de 3de regel .eu veranderen naar jouw extensie

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} plagscan\.eu [NC]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

fijne dag verder, en graag gedaan

 

 

 

 

05-12-2020 07:30
#2848

Hoi Klaas, ik  ben de grootste digibeet ooit en kreeg mijn HTTPS niet geforceerd ondanks de aanwijzingen van Vimexx, maar dankzij jouw aanwijzingen heb ik het voor elkaar gekregen. Ik had al de code die Vimexx aanraadde in mijn .htaccess gezet, maar toen werkte het nog niet. Daarna dankzij jou nog twee dingen gedaan:

1. in directadmin bij domeininstellingen force SSL aangezet

2. onder de code die al in mijn .htaccess stond, heb ik bovenstaande code van jou gezet, extensie veranderd naar extensie van mijn domeinnaam.

Dank voor je aanwijzingen, ik  heb dit ook even opgeschreven omdat het andere digibeten misschien helpt :-)

 

05-12-2020 10:30
#2849

Dag Klaas,

 

je link naar de info van 23-2 doet het (op dit moment) niet.

 

vriendelijke groet

Tiemen

04-01-2021 14:13
#2896

WOW , wat een goede tips hier zo
'
MEN ZEGT WEL DAT DOMME VRAGEN NIET BESTAAN NOU DIE PERSOON HEEFT MJ KENNELIJK NOG NIET ONTMOET :-)

want Ik vraag me wel af bij het doorlezen van de enorme stapel aan redirects en zo of dit ook universeel is m.a.w. kan ik dat ook een (1) op een (1) zo copieren naar die van mij? Behalve dan wanneer je heel specifiek zegt dit niet te doen (zoals bij die .eu verwijzing, he @Kllaas O ?)

en dan komt de klapperrrrrr VAN DE WEEK :-0) MAAKT HET OOK UIT  WAAR (dus welke folder) de .htaccess komt ?

 

- 5 van 5 sterren -