Discussion :

[busta_m]

Bonjour,

Je viens d'installer en local Apache 2.0 + PHP + Openssl + Mysql (la totale quoi ) et j'ai testé des pages normales tjs en local et tout marche nickel: http://localhost et https://localhost. Ma question est la suivante: est ce qu'il y a un moyen pour configurer Apache afin d'obliger l'acces à toutes les pages de mon site en https seulement??? en d'autres termes si je tappe http://localhost directement la fenetre du certificat a accepter s'affiche et le site passe en https.

Merci d'avance.

[Swoög]

normalement, dans la configuration d'Apache ou de OpenSSL, il doit y a voir un moment où tu spécifies le port 443 pour HTTPS (il me semble) si tu spécifies le port 80, toutes les connections au port 80 seront considérées comme des connections HTTPS

[cdryk]

D'ailleurs je me posais une question.

Si j'ai mon index.php accessible en HTTP et que c'est uniquement à partir d'une autre page que je veux passer en HTTPS.

Imaginons : index.php en HTTP et index2.php en HTTPS
La page index contient juste des infos
La page index2 permet de s'identifier et je mets donc en place le HTTPS avant l'envoie des identifiants de connexion.

Comment fait-on le lien dans la page index.php vers la page index2.php ?
J'ai deux idées mais je ne sais pas si il y a un autre moyen...

Soit je mets un chemin complet style :
<a href="https://www.monsite.com/index2.php">S'identifier</a>

Sinon est-ce qu'il est possible d'écrire ca sous la forme :
<a href="index2.php:443">S'identifier</a>

La 2eme solution est totalement imaginaire Donc si c'est pas possible tant pis et si il y a mieux que la 1ere solution merci de me l'indiquer



Sinon pour ton problème, j'ai une solution qui va dépendre des réponses que vous allez apporter à ma question précédente mais je pensais à une redirection...
Tu peux par exemple le résoudre en faisant une page d'accueil bidon accessible par http... genre dans ton index.php dans lequel tu mets uniquement la ligne :
<?
header("Location: https://www.monsite.com/index2.php")
?>

Mais sinon la solution de tout passer par le port de HTTPS est le plus simple...

[busta_m]

Merci les gars pour vos reponses,

Je résume voila dans la configuration d'Apache on edite httpd.conf en ajoutant Listen 443

et

<VirtualHost localhost:443>
SSLEngine On
SSLCertificateFile conf/ssl/my-server.cert
SSLCertificateKeyFile conf/ssl/my-server.key
</VirtualHost>

Quand j mis 80 au lieu de 443, le lien http://localhost me donne une page d'erreur:
400 Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Hint: https://localhost:80/

Donc il faut cliquer sur https://localhost:80/ et accepter le certificat pour acceder au site.

Il me reste un autre prob, en fait j installé Joomla sur le site et la première page est sécurisée mais quand je clique sur un autre lien de la page il me sort le meme message 400 Bad Request et je dois cliquer sur https://localhost:80/ pour revenir a la page d'accueil et non le deuxième lien.......

[Swoög]

Alors, effectivement, j'avais pas penser au problème du conflit HTTP/HTTPS...

je pense que le mieux, et de rester avec la configuration que tu avais à l'origine, et de mettre ceci au début de chacune de tes pages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($_SERVER['SERVER_PORT'] != 443) die(header('Location: https://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

ce qui aura pour effet de rediriger automatiquement vers la page sécurisée

[busta_m]

Oui mais je ne vois pas ou je vais ajouter cette ligne, j installé Joomla qui contiennent pleins de pages et de liens.

Je cherche plutot une configuration dans le serveur apache qui me permet d'interdire l'acces au site par http, et de forcer l'acces en https

[cdryk]

Justement ce qu'il te propose c'est un peu ca...

if($_SERVER['SERVER_PORT'] != 443)
die (header('Location: https://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

Si tu colles ca en début de chacune de tes pages PHP, ca aura pour objectif de prendre la requete qui arrive en HTTP sur la page X et de la rooter vers elle-même par le protocole HTTPS...

Donc si tu as un index.php qui a un lien vers ta page forum.php, news.php etc.. et que tu veux une connexion sécurisée partout, tu mets cette ligne au début de chacun... Comme ca le gars qui vient sur ton site par : http://www.tonsite.com/
sera envoyé en HTTP vers ton index.php qui va le rediriger vers la page : https://www.tonsite.com/index.php

Et si par hasard le gars tape directement : http://www.tonsite.com/forum.php
Avec ce même code en début de la page du forum, le visiteur sera redirigé vers : https://www.tonsite.com/forum.php


Voilou...

[scudetto01]

Alors, effectivement, j'avais pas penser au problème du conflit HTTP/HTTPS...

je pense que le mieux, et de rester avec la configuration que tu avais à l'origine, et de mettre ceci au début de chacune de tes pages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($_SERVER['SERVER_PORT'] != 443) die(header('Location: https://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

ce qui aura pour effet de rediriger automatiquement vers la page sécurisée

Bonjour

J'ai essayé cette méthode mais ça ne marche pas chez moi, en modifiant mon index.html en index.php après avoir ajouter cette ligne

Un serveur web "192.168.0.76" dans un réseau local et à partir d'une machine distante j'entre l'@ http://192.168.0.76/monSite/ le résultat est une redirection vers cette @: https://localhost.localdomain/monSite/ d'où une erreur d'affichage de la page en question.

N.B: en attendant j'ai bloqué le port 80, ce qui emmènera à forcer la saisie de https pour accéder aux page web.

Merci pour votre aide.

[_Mac_]

Utilise $_SERVER['HTTP_HOST'] à la place de $_SERVER['SERVER_NAME'].

[scudetto01]

Merci, ça marche!!

[nyko2012]

Bonjour,

Je viens d'installer en local Apache 2.0 + PHP + Openssl + Mysql (la totale quoi ) et j'ai testé des pages normales tjs en local et tout marche nickel: http://localhost et https://localhost. Ma question est la suivante: est ce qu'il y a un moyen pour configurer Apache afin d'obliger l'acces à toutes les pages de mon site en https seulement??? en d'autres termes si je tappe http://localhost directement la fenetre du certificat a accepter s'affiche et le site passe en https.

Merci d'avance.

idem pour moi, la solution indiquée ici ne me convient pas, et celle de bloquer le port 80 n' est pas possible non plus.
Depuis ces années je pense que tu as trouvé la vrai solution car c' est vrai que ce n' est pas toujours possible de modifier des dizaines/centaines de pages manuellement et parfois même impossible puisque un script peut les regénérer sans le code.
ce topic reste toujours d' actualité et voici la méthode adaptée:

il faut éditer un fichier .htaccess à la racine (exemple dans /var/www/monsite/ )
et mettre ce code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<IfModule mod_rewrite.c>
   Options +FollowSymLinks
   Options +Indexes
   RewriteEngine On
   RewriteCond %{SERVER_PORT}!^443$
   RewriteRule ^(.*)$ https://www.monsite.com/$1 [R,L]
</IfModule>