229438

Auf sichere Verbindung umleiten

02.07.2008 | 11:42 Uhr |

Es ist im Interesse aller Beteiligten, dass Passwörter bei der Anmeldung am Server SSL-Verbindungen verschlüsselt übertragen werden. Sie können Apache so konfigurieren, dass er immer auf diese sichere https-Verbindung umleitet.

Anforderung:

Fortgeschrittener, Profi

Zeitaufwand:

Hoch

Problem:

Es liegt nicht nur im Interesse des Internet-Users, keine Web-Passwörter zu offenbaren, sondern ebenso in dem des Website-Anbieters, dass seine angemeldeten Nutzer dies nicht tun: Auch der Betreiber eines Servers kann Ärger bekommen, wenn Kriminelle erspähte Passwörter für ihr Tun missbrauchen. Über SSL-Verbindungen läuft die Anmeldung so ab, dass die Passwörter nicht im Klartext lesbar sind. Nun müssen Sie Ihre Nutzer nur noch dazu motivieren, SSL auch einzusetzen, also bei allen Anwendungen, die ein Login erfordern, „https://“ statt „http://“ in der URL zu verwenden.

Lösung:

In der Apache-Konfiguration können Sie das mittels einer automatischen Umleitung zu „https://“ erzwingen. Wenn etwa der Pfad „/mail“ nur über SSL erreichbar sein soll, lauten die entsprechenden Zeilen in der Konfiguration (klicken Sie auf das folgende Bild):

Analog können Sie hinter „Location“ in der dritten Zeile auch beliebige andere Pfade angeben. Soll das gesamte Web-Angebot Ihres Servers ausschließlich über SSL erreichbar sein, lautet der Pfad „/“. Für den Benutzer läuft der Wechsel auf die verschlüsselte Seite jeweils nahezu unbemerkt ab.

Die Anweisungen fügen Sie in die Apache-Konfiguration ein, etwa in /etc/httpd/httpd.conf. Je nach System kann Apache seine Konfiguration auch woanders erwarten, etwa unter /etc/apache2/apache2.conf.
Unter Debian Linux bietet sich an, die Anweisungen zur besseren Übersicht in eine eigene Datei zu schreiben, etwa /etc/apache2/conf.d/ssl-redirect.conf.

0 Kommentare zu diesem Artikel
229438