Перевод домена с HTTP на HTTPS

[Ph-A 395]

Как анонсируют:

 

С 2017 Google Chrome и Mozilla Firefox будут помечать все сайты без HTTPS соединения как «небезопасные».

 

Однако браузер Firefox не только оповестит пользователей о том, что сайты, использующие HTTP, не являются безопасными, но и заблокирует доступ к ним.

 

С этим нововведением прогнозируется спад вовлеченности аудитории, доверия к сайтам, а также понижение сайтов в поисковой выдаче Google, Yahoo и др.

В мире стремительного развития технологий безопасности пользователей угрожает все больше факторов. Сейчас наблюдается изменение всей интернет индустрии, и особое внимание уделяется именно безопасности в сети. Данная тенденция продолжится и в будущем.

 

 

Для HTTP нужен сертификат. Если форум использует свой сервер или VDS, то бесплатный сертификат предоставляет Let's Encrypt.

Действует он только 3 месяца, потом его надо обновлять. Панель ISPmanager это делает автоматически иначе надо писать cron.

 

Как поставить сертификаты на apache можно прочитать здесь - https://habrahabr.ru/post/270273/

 

https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-04 - установка сертификатов на Nginx

[Ph-A 395]

После установки HTTPS можно переводить форум на защищенный протокол.

Для этого меняем в conf_global.php путь в $INFO['board_url'] на путь начинающий с

 

https://

 

И меняем путь к URL к директории загрузок в

Системные настройки > System > Глобальные настройки

 

В старых сообщениях, все смайлики имеют путь начинающий с http. Что болезненно воспринимается браузерами. Для исправление ошибок надо сделать бекап базы и в

 

Tools & Settings > Пересчет и перестроение > Пересчет и обновление > Перестроение контента

 

Запустить перестройку Сообщений не смотря на надпись - Содержимое уже обновлено

 

И в

 

Внешний вид > Post Content > Manage Media Tag > Медиа-теги

 

Меняем протоколы у Медиа-тегов.

[Ph-A 395]

Подводные камни.

 

Если на форуме включены граваторы то браузер тоже ругается. Сам сайт граватор уже работает на https но старые изображение содержат незащищенный путь.

Какой путь будет у новых граватоов не знаю, еще не смотрел

 

Подписи с картинками. Например на сайт nick-name.ru и похожие.

 

Картинки на других ресурсах скорее всего тоже вызовут проблемы. Еще не смотрел.

 

Вызов старого видео с youtube.com идет через http, но у хрома все нормально, не ругается. Как остальные браузеры не знаю, но тоже это все вопрос времени.

 

Это все по видимости придется исправлять запросами MySQL к базе.

[Ph-A 395]

Вызов старого видео с youtube.com идет через http, но у хрома все нормально, не ругается

Часть старых видео, показывает нормально, другая част, только белое поле. Изменение адреса видео на https, исправляет ситуацию. То есть изменение адресов видео тоже необходимо.

[Strategius 52]

Здравствуйте! Если не трудно, не могли бы Вы поподробнее объяснить, что такое SSL-сертификат, как он работает, и главное - как его получить и установить на форум?

Насколько я понял, он платный и его нужно каким-то образом генерировать.

Изменено 18 декабря 2016 пользователем Strategius

[HooLIGUN 10]

Часть старых видео, показывает нормально, другая част, только белое поле. Изменение адреса видео на https, исправляет ситуацию. То есть изменение адресов видео тоже необходимо.

Любые объекты должны иметь защищенную ссылку (https) (искл. Гиперссылки) , иначе браузер помечает сайт (страницу) как "небезопасный" и толку от ssl сертификата становится ноль.

[siv1987 2628]

и толку от ssl сертификата становится ноль

Ну не совсем прямо так. Толк от него есть, просто на странице встраиваються не защищенные элементы которые могут быть модифицированы третьей строной. Отсюда уже зависит какие это элементы - изображения, которые серьезной опасности в случае подмены не представляют, либо скрипты и другие элементы которые могут модифицировать содержимое страницы и ставят под угрозу понятие защищенного соединения, так как в случае перехвата запроса третья сторона может влиять на содержимое вашей странице и такое соединение больше не считается безопасным. Для боль зов ат ел я же естественно такое предупреждение сильно подрывает доверие к защищенной странице, я обычно приравниваю такую страницу к обычному http.

[Ph-A 395]

Если не трудно, не могли бы Вы поподробнее объяснить, что такое SSL-сертификат, как он работает

В интернете много информации на эту тему. Просто нет смысла переписывать.

 

Насколько я понял, он платный и его нужно каким-то образом генерировать.

Я как раз дал ссылки на бесплатный сертификат и как его устанавливать.

 

Любые объекты должны иметь защищенную ссылку (https) (искл. Гиперссылки) , иначе браузер помечает сайт (страницу) как "небезопасный"

Да.

 

и толку от ssl сертификата становится ноль.

Вообще загонять в https некоммерческие сайты, и заставлять покупать сертификаты, больше похоже на дичь.

А потом, приходится переходить по шагам не все сразу. И не вопрос, как пока реагирует браузер.

 

Меня больше удивило другое, что браузер обязан ругаться на такой элемент, но он это воспринимает нормально. Соединение без опасных элементов.

 

Хотя по хорошему надо переделать "обновление содержимого", что бы при его запуске, переделывалось все сразу.

[Италия 0]

Спасибо за инструкцию! Как раз перевожу форум

[VadimD 0]

Подскажите пожалуйста настройку ВВ кода для HTTPS. Сейчас пользователи могут загружать фото со сторонних сайтов используя протокол HTTP, браузер начинает ругаться на странички с таким содержимым. Хотелось, чтобы автоматически проставлялся https:// и была возможность перестроить контент сообщений.

Это реально?

[newbie 1723]

Подскажите пожалуйста настройку ВВ кода для HTTPS.

Нет такой настройки.

Хотелось, чтобы автоматически проставлялся https://

А если картинка, для которой нет https?