Как вы перенаправляете HTTPS в HTTP?

Question

Как вы перенаправляете HTTPS в HTTP?

124

Как вы перенаправляете HTTPS на HTTP?. То есть противоположность тому, чему (по-видимому) учит каждый.

У меня есть сервер на HTTPS, для которого я заплатил сертификацию SSL и зеркало, для которого у меня нет, и поддерживаю его только для чрезвычайных ситуаций, поэтому для получения сертификата не заслуживает.

На моих клиентских компьютерах у меня есть НЕКОТОРЫЕ ярлыки, которые указывают на http://production_server и https://production_server (оба работают). Тем не менее, я знаю, что если мой производственный сервер опустится, то DNS-пересылка начнется, а те клиенты, у которых есть "https" в своем ярлыке, будут смотреть на https://mirror_server (который не работает) и большой толстый Internet Explorer 7 red экран непросто для моей компании.

К сожалению, я не могу просто переключить это на уровне клиента. Эти пользователи очень неграмотны в компьютерах: и, скорее всего, они увидят ошибки HTTPS "незащищенности" (особенно то, как Firefox 3 и Internet Explorer 7 обрабатывают ее в настоящее время: ПОЛНОСТЬЮ ОСТАНОВИТЬ, к счастью, но не помогая мне здесь LOL).

Это очень легко найти Apache solutions для http- > https redirection, но для жизни меня я не может сделать обратное.

Идеи?

mauriciopastrana 11 авг. 2008, в 23:49

Источник

1

Не делай этого ! Перенаправления HTTPS из HTTP чрезвычайно опасны (и на самом деле скоро будут заблокированы всеми браузерами из-за злоупотребления), особенно если это узел через состояние HTTP без вывода сообщений (но то же самое верно, если это делается с помощью javascript), кроме случаев, когда: - (1) есть временная страница парковки HTTPS, предлагающая пользователям перейти по ссылке, активно щелкая по ней; или: - (2) HTTPS перенаправляет на HTTP точно в ТО ЖЕ домен, И перенаправления не изменяют запрошенный тип контента. Разрешение этого в браузерах позволило многим вредоносным программам пройти изоляцию. Такие перенаправления очень обманчивы.
verdy_p 04 окт. 2018, в 18:16
2

Это похоже на внутренний сайт, где OP знает, что с ним происходит, и, следовательно, не опасно ... Если бы это был веб-сервер, я бы с вами согласился, но внутренний, только локальный веб-сервер, перенаправление в эта мода не будет проблемой.
Stese 05 нояб. 2018, в 09:30
0

@verdy_p Я работаю над переадресацией HTTPS на HTTP 302, случай портальных порталов. Можете ли вы указать мне документацию, на которую вы ссылаетесь?
jprusakova 15 фев. 2019, в 19:11
0

Для вашего встроенного портала никогда не выполняйте перенаправление HTTPS на HTTP 302, за исключением случаев, когда это точно в тот же домен (даже не в поддомен). А поскольку существует высокий риск раскрытия информации, остерегайтесь токенов сессии и файлов cookie, которые прозрачно передаются при перенаправлении! Вы должны знать, что цели HTTP могут быть подстроены, а информация взята прозрачными вредоносными прокси-серверами и даже вредоносными DNS: ваш клиент может даже не знать, что ваша цель только для HTTP будет недоступна и фактически перейдет в черный список! Поэтому никогда не делайте этого на HTTPS-ссылках, которые содержат частную сессию / куки / запросы
verdy_p 17 фев. 2019, в 12:13
0

Такое перенаправление HTTPS 302 всегда является дырой в безопасности вашего сайта HTTPS. Огромный риск - кража сессий и сбор личных аккаунтов ваших аутентифицированных пользователей. И в любом случае, НИКОГДА не делайте таких перенаправлений для загрузки javascripts или активных мультимедиа: это открытая дверь в сфере HTTPS «песочница». Действительно подумайте о том, чтобы сделать что-то обратное: перенаправить HTTP на HTTPS (особенно на ваш основной портал или статические общедоступные страницы, которым не нужны личные данные / сеансы / куки) и использовать HTTPS для everelse. Если вам когда-нибудь понадобится перейти с HTTPS на HTTP, используйте стандартные ссылки (в разных запросах)
verdy_p 17 фев. 2019, в 12:20

Показать ещё 3 комментария

Теги:

apache

ssl

redirect

https

9 ответов

61

Имейте в виду, что движок Rewrite запускается только после того, как был получен запрос HTTP, что означает, что вам все равно нужен сертификат, чтобы клиент мог настроить соединение для отправки запроса!

Однако, если на резервном компьютере будет указано одно и то же имя хоста (насколько это касается клиента), тогда не должно быть причин, по которым вы не можете использовать тот же сертификат, что и основной производственный компьютер.

Kieron 12 авг. 2008, в 03:31

1

Как можно преодолеть это ограничение? У меня та же проблема. получение ошибки сертификата из браузера перед перенаправлением.
Sandeep Balagopal 29 нояб. 2016, в 07:17
0

Было бы неплохо иметь перенаправление назад на HTTP, если есть ошибка сертификата
Matthew Semik 14 фев. 2019, в 22:37
0

Это полностью побеждает цель иметь HTTPS в первую очередь
zeion 26 март 2019, в 21:43

Показать ещё 1 комментарий

11

На основе ответа ejunker это решение работает для меня, а не на одном сервере, но в среде облако

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{ENV:HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

antoniom 24 янв. 2013, в 08:54

5

Для тех, кто использует файл .conf.

<VirtualHost *:443>
    ServerName domain.com
    RewriteEngine On
    RewriteCond %{HTTPS} on
    RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}

    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/domain.crt
    SSLCertificateKeyFile /etc/apache2/ssl/domain.key
    SSLCACertificateFile /etc/apache2/ssl/domain.crt

</VirtualHost>

Rick 01 дек. 2015, в 19:05

4

Если ни одно из вышеперечисленных решений не работает для вас (они не для меня), вот что работает на моем сервере:

RewriteCond %{HTTPS} =on
RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1 [L,R=301]

Stuart 21 фев. 2013, в 01:48

6

Часто вам не понадобится L, (что означает «Последнее правило»). Если вы используете WordPress или другую CMS, флаг L может помешать правильной маршрутизации запроса страницы. Вместо этого используйте: RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1 [R=301]
Rustavore 14 май 2013, в 22:20

3

все вышеизложенное не работало, когда я использовал cloudflare, этот работал у меня:

RewriteCond %{HTTP:X-Forwarded-Proto} =https
RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

и это определенно работает без прокси-серверов:

RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

mikulabc 08 март 2017, в 18:59

1

Лучше овально использовать mod_rewrite, когда сможете. В вашем случае я бы заменил Rewrite на это:

    <If "%{HTTPS} == 'on'" >
            Redirect permanent / http://production_server/
    </If>

Директива <If> доступна только в Apache 2.4+ в соответствии с этим здесь

sys0dm1n 22 авг. 2016, в 08:57

0

Ни один из ответов не работает для меня на веб-сайте Wordpress, но после работы (он похож на другие ответы, но немного меняется)

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

zhilevan 12 нояб. 2017, в 19:48

0

Не используйте такие правила вслепую со всеми REQUEST_URI (это не следует использовать, если в URI есть какие-либо данные формы или идентификаторы файлов cookie / сеансов в метаданных запроса). Используйте его только для статических общедоступных страниц / изображений. Избегайте его полностью для javascripts или активных компонентов (особенно для видеопотоков со сценариями или активных PDF-файлов, если они не подписаны вами цифровой подписью! Все еще невозможно цифровую подпись javascripts, сохраняйте их только в вашем защищенном домене).
verdy_p 17 фев. 2019, в 12:34
0

Примечание: некоторые форматы изображений активны и пригодны для написания сценариев: остерегайтесь, например, SVG. Мы видели атаки на некоторые HTTPS-сайты, загружающие изображения SVG из HTTP (с 302 перенаправлениями сайта) и собираемые вредоносными программами, вставляющими сценарии в содержимое SVG ... В идеале браузеры должны изолировать HTTP-содержимое от HTTPS и поместить его в песочницу (так что CORS также должны применяться ограничения безопасности, даже если они находятся в одном доменном имени ...), поэтому "http: // (домен) / ..." и "https: // (домен) /" следует рассматривать как отдельные домены для CORS (не одного источника), даже если они находятся на одном и том же номере порта TCP.
verdy_p 17 фев. 2019, в 12:38

-8

Насколько я знаю, простое обновление метаданных также работает без ошибок:

<meta http-equiv="refresh" content="0;URL='http://www.yourdomain.com/path'">

RobinUS2 03 сен. 2012, в 07:47

11

Я бы хотел, чтобы избиратели, находящиеся под откосом, должны были оставлять комментарии, объясняющие причины, по которым были поданы голоса. Лично я не выбрал бы этот ответ, если у вас как разработчика нет доступа к серверу, для которого вы разрабатываете, но у вас есть доступ к странице. Одна из проблем заключается в том, что вам придется жестко задавать каждый путь на каждой странице, чтобы это работало. Если вы можете предположить, что JavaScript включен для ваших важных сценариев использования, вам лучше использовать JavaScript, чтобы перейти на http. Приведенные выше ответы лучше, потому что они не требуют JavaScript, так как они происходят на сервере.
Rustavore 14 май 2013, в 22:19
2

Просто: потому что htaccess - гораздо лучший вариант, чем этот. Кроме того, это не решит проблему перенаправления протокола https на http, если у вас нет сертификата.
miduga 14 июнь 2013, в 08:30
1

Действие должно обрабатываться сервером, а не документом «a», который он может обслуживать.
albal 03 авг. 2014, в 12:38

Показать ещё 1 комментарий

Ещё вопросы

Не делай этого ! Перенаправления HTTPS из HTTP чрезвычайно опасны (и на самом деле скоро будут заблокированы всеми браузерами из-за злоупотребления), особенно если это узел через состояние HTTP без вывода сообщений (но то же самое верно, если это делается с помощью javascript), кроме случаев, когда: - (1) есть временная страница парковки HTTPS, предлагающая пользователям перейти по ссылке, активно щелкая по ней; или: - (2) HTTPS перенаправляет на HTTP точно в ТО ЖЕ домен, И перенаправления не изменяют запрошенный тип контента. Разрешение этого в браузерах позволило многим вредоносным программам пройти изоляцию. Такие перенаправления очень обманчивы.
Это похоже на внутренний сайт, где OP знает, что с ним происходит, и, следовательно, не опасно ... Если бы это был веб-сервер, я бы с вами согласился, но внутренний, только локальный веб-сервер, перенаправление в эта мода не будет проблемой.
@verdy_p Я работаю над переадресацией HTTPS на HTTP 302, случай портальных порталов. Можете ли вы указать мне документацию, на которую вы ссылаетесь?
Для вашего встроенного портала никогда не выполняйте перенаправление HTTPS на HTTP 302, за исключением случаев, когда это точно в тот же домен (даже не в поддомен). А поскольку существует высокий риск раскрытия информации, остерегайтесь токенов сессии и файлов cookie, которые прозрачно передаются при перенаправлении! Вы должны знать, что цели HTTP могут быть подстроены, а информация взята прозрачными вредоносными прокси-серверами и даже вредоносными DNS: ваш клиент может даже не знать, что ваша цель только для HTTP будет недоступна и фактически перейдет в черный список! Поэтому никогда не делайте этого на HTTPS-ссылках, которые содержат частную сессию / куки / запросы
Такое перенаправление HTTPS 302 всегда является дырой в безопасности вашего сайта HTTPS. Огромный риск - кража сессий и сбор личных аккаунтов ваших аутентифицированных пользователей. И в любом случае, НИКОГДА не делайте таких перенаправлений для загрузки javascripts или активных мультимедиа: это открытая дверь в сфере HTTPS «песочница». Действительно подумайте о том, чтобы сделать что-то обратное: перенаправить HTTP на HTTPS (особенно на ваш основной портал или статические общедоступные страницы, которым не нужны личные данные / сеансы / куки) и использовать HTTPS для everelse. Если вам когда-нибудь понадобится перейти с HTTPS на HTTP, используйте стандартные ссылки (в разных запросах)
Как можно преодолеть это ограничение? У меня та же проблема. получение ошибки сертификата из браузера перед перенаправлением.
Было бы неплохо иметь перенаправление назад на HTTP, если есть ошибка сертификата
Это полностью побеждает цель иметь HTTPS в первую очередь
Часто вам не понадобится L, (что означает «Последнее правило»). Если вы используете WordPress или другую CMS, флаг L может помешать правильной маршрутизации запроса страницы. Вместо этого используйте: RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1 [R=301]
Не используйте такие правила вслепую со всеми REQUEST_URI (это не следует использовать, если в URI есть какие-либо данные формы или идентификаторы файлов cookie / сеансов в метаданных запроса). Используйте его только для статических общедоступных страниц / изображений. Избегайте его полностью для javascripts или активных компонентов (особенно для видеопотоков со сценариями или активных PDF-файлов, если они не подписаны вами цифровой подписью! Все еще невозможно цифровую подпись javascripts, сохраняйте их только в вашем защищенном домене).
Примечание: некоторые форматы изображений активны и пригодны для написания сценариев: остерегайтесь, например, SVG. Мы видели атаки на некоторые HTTPS-сайты, загружающие изображения SVG из HTTP (с 302 перенаправлениями сайта) и собираемые вредоносными программами, вставляющими сценарии в содержимое SVG ... В идеале браузеры должны изолировать HTTP-содержимое от HTTPS и поместить его в песочницу (так что CORS также должны применяться ограничения безопасности, даже если они находятся в одном доменном имени ...), поэтому "http: // (домен) / ..." и "https: // (домен) /" следует рассматривать как отдельные домены для CORS (не одного источника), даже если они находятся на одном и том же номере порта TCP.
Я бы хотел, чтобы избиратели, находящиеся под откосом, должны были оставлять комментарии, объясняющие причины, по которым были поданы голоса. Лично я не выбрал бы этот ответ, если у вас как разработчика нет доступа к серверу, для которого вы разрабатываете, но у вас есть доступ к странице. Одна из проблем заключается в том, что вам придется жестко задавать каждый путь на каждой странице, чтобы это работало. Если вы можете предположить, что JavaScript включен для ваших важных сценариев использования, вам лучше использовать JavaScript, чтобы перейти на http. Приведенные выше ответы лучше, потому что они не требуют JavaScript, так как они происходят на сервере.
Просто: потому что htaccess - гораздо лучший вариант, чем этот. Кроме того, это не решит проблему перенаправления протокола https на http, если у вас нет сертификата.
Действие должно обрабатываться сервером, а не документом «a», который он может обслуживать.

ejunker · Accepted Answer · 2008-08-12T00-49-00.000Z

103

Лучший ответ

Это не было протестировано, но я думаю, что это должно работать с помощью mod_rewrite

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}

ejunker 12 авг. 2008, в 00:49

1

Как мне заставить его работать (что мне нужно изменить с этого кода на мой домен, чтобы этот код работал)?
Enve 09 янв. 2013, в 18:59
1

Enve: просто добавьте в конфигурацию vhost_ssl.conf вашего сайта (или .htaccess в корне сайта). Ничего не нужно менять, он будет динамически использовать одно и то же имя хоста и URL-адрес.
Darren Felton 31 янв. 2013, в 19:53
1

Я думаю, что вы также можете поймать строки запроса. Я не уверен, но я думаю, что приведенный выше фрагмент не будет пересылать строки запроса из https в http.
Rustavore 14 май 2013, в 22:22
1

Хотя это работает, оно кажется неправильным для каждого Apache ( httpd.apache.org/docs/current/rewrite/avoid.html ) Похоже, вы должны использовать вместо этого псевдоним мода.
Jackie 10 апр. 2014, в 13:07
11

Как указал Кирон ниже, это не будет работать, если у зеркального сервера нет действующего сертификата. Вы все равно увидите большое красное предупреждение из-за неверного сертификата. Как только вы начинаете использовать https, вы в основном застряли с ним. Будьте готовы платить за это всю оставшуюся жизнь. Если вы прекратите платить, люди, добавившие ссылки https в закладки, не смогут пройти.
Stephen Cheng 09 сен. 2014, в 16:47
0

Можно ли было бы сделать это, избегая переписывания, согласно рекомендации Apache по адресу httpd.apache.org/docs/current/rewrite/avoid.html ?
Gaia 22 сен. 2014, в 20:26
0

@Gaia Вот версия Redirect согласно рекомендации Apache Redirect "/" "http://domain_to_redirect_to.com/"
Poly Bug 20 окт. 2015, в 00:15
0

Мне это нужно, но в сочетании только с "dev". хост для всех моих доменов. Другими словами, для https://www.* я буду хранить SSL, а для https://dev.* мне нужно перейти на http://dev.* потому что у меня нет SSL-сертификата, и мне лучше тест без предупреждений. Как ?
Meloman 23 май 2016, в 13:16
0

Если бы я поместил это предлагаемое решение в .htaccess помещенный в определенную папку под www из apache, и установил AllowOverride All в default_site.conf, это сработало бы?
Ciasto piekarz 04 янв. 2017, в 14:02
0

Платить за всю оставшуюся жизнь? Вы по-прежнему можете использовать HTTPS, но смените своего поставщика PKI и получите новые более дешевые сертификаты. Да, вы все равно заплатите несколько долларов, но то же самое относится и к вашему доменному имени и вашему хостингу! Сертификат PKI теперь НЕ дорогой по сравнению с доменными именами и незначителен по сравнению с затратами на хостинг / пропускную способность!
verdy_p 17 фев. 2019, в 12:27
0

Примечание: если вам нужны зеркала, создайте субдомены в вашем основном домене, по одному субдомену на зеркало, и купите сертификат PKI для каждого, и проинструктируйте ваши зеркала принимать и обрабатывать запросы для вашего субдомена. То же самое можно сказать, если вы используете коммерческий CDN (например, Amazon): сконфигурируйте его для использования своего субдомена и принимайте запросы только от своего субдомена, а не от субдомена CDN по умолчанию: вы будете полностью контролировать происходящее.
verdy_p 17 фев. 2019, в 12:30

Показать ещё 9 комментариев