Https, SSL, viderestilling og subdomæner

Overskriften kunne lige så godt have heddet: Om at fortabe sig i forskellen på http:// og https://. Men sådan blev det ikke.

Hvad går dette så ud på?

Måske har du bemærket, at nogle internetadresser begynder med https://, og at der til venstre herfor er en grøn hængelås og måske en angivelse af, at hjemmesiden er sikker. Jeg har – naturligvis – også bemærket dette s som er føjet til http://. Det har imidlertid ikke medført en passende handling.

Ikke før Hanne efterlyste ideer til endnu et par guides, som hun var lige ved at have produceret 100 af. Jeg foreslog en forklaring på https://. Den kom nærmest prompte – og pludselig kunne jeg se den sammenhæng mellem https og SSL, som jeg ikke tidligere havde forholdt mig til.

Om det nu også er vigtigt at kunne kryptere hvad der måtte sendes frem og tilbage mellem bloggens og dens læsere ved eg såmænd ikke rigtig, men da jeg blev klar over at Google synes det er vigtigt, og at det kan have betydning for placeringen i søgemaskinen, bestemte jeg mig for at tilføje dette s.

Hvordan gik det så?

Hos Bluehost gik det nemt. Der produceres ganske let et SSL-certifikat, og det hele så pænt ud efter en smule skrammel var fjernet. Dette kostede ikke noget.

Hos Webhosting.dk gik det også nemt at få gang i en gratis mulighed, LetsEnCrypt.

Men …

Der var lige noget mere der skulle fattes. Nemlig at der skulle tilføjes kode i .htaccess-filen. Det er så klaret.

Så vidt jeg husker var det denne kode, der viderestiller fra hjemmesider med www til samme uden. Og omvendt. I alle tilfælde skulle det gerne være sådan, at der ikke kommer misk-mask mellem disse muligheder. På denne måde undgår man vist også at Google ser sig sur på dobbelt indhold. Det er vist i øvrigt også koden, der hjælper til med at ændre fra http til https i sidens koder.

Der skulle vise sig flere problemer. På Webhosting gik det op for mig, at det ikke er så lige til at danne et SSL-certifikat til hjemmesider med æ, ø og å. Det må så vente til en eller anden ide klarer det problem – eller domænet med mit navn vedbliver at være http://.

Det forrige er nok til at leve med, men det følgende er mere problematisk. Det illustreres med følgende to illustrationer:

https_overnatningtyskland_2017-09-12_1638

overnatningityskland_2017-09-12_1640

Hidtil har det være sådan de nederste adresse er viderestillet til den øverste. Det lader sig imidlertid ikke gøre efter ændringerne, som det tydeligt fremgår. Om der er en løsning ved jeg ikke endnu, men ellers må jeg finde på noget andet at gøre. Det ser lidt dumt ud med den sidste melding. Det er i øvrigt blot et i imellem de to ord nederst der er afgørende, hvis det er svært at se forskellen.

Endelig skal det nævnes, at der ikke uden videre kan udstedes certifikat til subdomæner. Men det er der vist også mulighed for at klare – mod betaling.

Helt enkelt var det således ikke, men jeg har måske den fornemmelse, at det er nogen tid siden jeg sidst har været udsat for forsøg på at logge ind (brute force) på især overnatningtyskland.dk. Den side har ellers været efterstræbt. Om der så er en sammenhæng her er ikke klart for mig.

God fornøjelse hvis du påtænker ændringen – og i øvrigt tages forbehold for nøjagtigheden af min forståelse af de herhenhørende problemer.

, , ,

12 Svar til Https, SSL, viderestilling og subdomæner

  1. Eric september 19, 2017 at 16:17 #

    Jeg har også været opmærksom på Googles udmelding, som jeg opfatter som temmelig hysterisk, når der ikke er tale om udveksling af anden information end kommentarer på en blog, og muligvis slet ingen udveksling som på ordinære html-sider.

    Jeg undersøgte dog hos min udbyder, hvad det ville koste, og det syntes jeg var pebret. Man kan gøre det billigere ved at gå via fx et amerikansk firma, men så står man selv med det tekniske bøvl.

    Jeg tror, at jeg indtil videre lever med prædikatet “usikker”.

    • Jørgen september 19, 2017 at 16:31 #

      Jeg har endnu ikke betalt noget som helst, men der er trods alt enkelt “udfordringer”. Jeg forstår glimrende at du lever med prædikatet “usikker”. Måske vender jeg tilbage til det, men det må tiden vise.

  2. Stegemüller september 20, 2017 at 13:21 #

    Supergodt Jørgen! Man kan selvklart spørge sig selv – og evt. andre – hvilken sikkerhedsrisiko, der kan være på en blog med kommentarer. Jeg tror dog, at man lige så godt kan hoppe ud i det, inden det bliver et uomtvisteligt krav. Og så er der jo lige det med Google… – Google runs the world.

    Jeg tror, du har ret i, at der kommer færre brute force attacks, når siden er sikret, det er i hvert fald min oplevelse. De gider ikke gå efter de sikre sider. Det bliver for besværligt for dem.

    At købe certifikater ser ud til at være en pebret affære, men priserne er meget forskellige. Hos min hos cHosting er det gratis.

    • Jørgen september 20, 2017 at 13:36 #

      Ja, jeg antager du har ret. Det er fint at være lidt fremme i skoene i denne sammenhæng. Jeg har ikke betalt noget for cetifikaterne, men der synes altså også at være lidt begrænsninger.
      Har du i øvrigt afprøvet alle dine subdomæner for at se hvorledes de fungerer?

  3. Stegemüller september 20, 2017 at 13:54 #

    Hov jeg glemte: Jeg forstår ikke, at du mener, at du ikke kan få certifikat til subdomæner. Jeg har to subdomæner, som jeg bruger til diverse tests, og de har da arvet certifikatet fra hoveddomænet.

    • Jørgen september 20, 2017 at 15:03 #

      Hos Webhosting.dk får man direkte at vide at subdomæner ikke er omfattet af mulighederne hos dem. Man kan vist klare det ved at lade subdomænet stå således:
      jc.dk/jc.

      Jeg kiggede i den forbindelse på nogle af dine subdomæner og kunne se at de ikke var helt så sikre som hængelåsen på billedet i guiden antyder. Jeg har lige gjort det igen. testblog.stegemueller.dk angives i Firefox som ikke sikker, og skrives https:// direkte foran får man ej heller hængelåsen. Skriver du http:// foran lykkes det heller ikke.

      Måske er der et svar.

  4. Stegemüller september 20, 2017 at 15:13 #

    Tusind tak for at du var opmærksom på dette. Jeg troede, den hellige grav var vel forvaret overalt.

    Det skal jeg bestemt have set på.

    • Jørgen september 20, 2017 at 15:43 #

      Velbekomme.

  5. Ellen september 20, 2017 at 21:54 #

    Hvor er I dog kloge!
    Jeg kan bare konstatere, at på min WP-blog står der https, så jeg konkluderer hermed, at jeg kan føle mig tryg og udenfor umiddelbar fare.

    • Jørgen september 21, 2017 at 20:03 #

      Man må jo forsøge at fatte hvad det går ud på.
      Din wp-mand har sørget for det hele.

  6. Donald september 23, 2017 at 11:30 #

    Jeg fatter problematikken, kender mekanikken, (har arbejdet med det, opsat ssl (secure socket layer) for webserver, men jeg ved også at man skal have meget tid, og i nogle tilfælde købe certificat. Grunden til at æ ø å volder problemer er jo at de oversættes til en Latin-1 sekvens, fx. https://da.wikipedia.org/wiki/Sj%C3%A6lland
    som betyder
    https://da.wikipedia.org/wiki/Sjælland.

    Med andre ord, to bytes med værdierne 0xc3 og oxa6, eller med titals-notation, 195 og 166, representerer ‘æ’ i et eller andet bogstav-tabelsystem (Unicode af en slags).

    Men jeg orker ikke at gøre en masse ved det og har i det hele taget koncentreret mig om motion, helbred, klaverspil og familie … så var der ikke mere tid 🙂

    • Jørgen september 23, 2017 at 17:12 #

      Jeg fatter ikke meget af problematikken, og har ikke brugt så meget tid på det endda. Det går forhåbentlig som det nu er.

Drives af WordPress. Designet af Woo Themes