Apache2 - problem z SSL

uho · Post autor: **uho** » 23 lutego 2016, 18:31

Witam,

Mam sobie apacha2 gdzie strona działa na jednej domenie w http i https.
Wcześniej dla ssl był wygenerowany certyfikat podpisany przez samego siebie.
Od momentu wgrania na serwer certyfikatu SSL wykupionego i podpisanego przez urząd do tego właściwy, zaczęły się problemy.
Przeglądarki po wpisaniu http://www.xxxxxxx.pl od razu przekierowują na adres https!!!
Gdy mam poddomenę skonfigurowaną na vhoscie:80 np zzz.xxxxx.pl, po wklepaniu w przeglądarkę od razu wyskakuje komunikat z błędnym certyfikatem i oczywiście automatycznie adres jest przekierowywany na https !!!
Nie wiem dlaczego, przeglądarki tak reagują, tzn. automatycznie przekierowują stronę z http na https, jak to wyłączyć ?

Chcę mieć tak skonfigurowany serwer, że ogólnie strona działa na http, ale niektóre tylko podstrony na https, z użyciem tej samej nazwy domeny.
Obecnie żeby moja strona działała tylko na http, muszę wyłączyć całkowicie ssl w konfiguracji serwera!!!

lizard · Post autor: **lizard** » 23 lutego 2016, 19:51

Oprócz opisu wypadałoby pokazać konfigurację virtualhosta?

uho · Post autor: **uho** » 23 lutego 2016, 20:14

oczywiście

root@www:/ # apachectl -S
VirtualHost configuration:
94.240.45.30:80 is a NameVirtualHost
default server xxxxx.zzzzz.pl (/usr/local/etc/apache22/Includes/my.conf:80)
port 80 namevhost xxxxx.zzzzz.pl (/usr/local/etc/apache22/Includes/my.conf:80)
port 80 namevhost http://www.xxxxx.zzzzz.pl (/usr/local/etc/apache22/Includes/my.conf:86)
port 80 namevhost www2.xxxxx.zzzzz.pl (/usr/local/etc/apache22/Includes/my.conf:92)
94.240.45.30:443 is a NameVirtualHost
default server xxxxx.zzzzz.pl (/usr/local/etc/apache22/extra/httpd-ssl.conf:76)
port 443 namevhost xxxxx.zzzzz.pl (/usr/local/etc/apache22/extra/httpd-ssl.conf:76)
Syntax OK

Listen 94.xxx.xxx.30:80
ServerName xxxxx.zzzz.pl:80

NameVirtualHost 94.xxx.xxx.30:80

<VirtualHost 94.xxx.xxx.30:80>
SSLEngine off
ServerName xxxxx.zzzzz.pl
DocumentRoot /home/vhosts/xxxx/
</VirtualHost>

<VirtualHost 94.xxx.xxx.30:80>
SSLEngine off
ServerName http://www.xxxxx.zzzzz.pl
DocumentRoot /home/vhosts/xxxx/
</VirtualHost>

<VirtualHost 94.xxx.xxx.30:80>
SSLEngine off
ServerName www2.xxxxx.zzzzz.pl
DocumentRoot /home/vhosts/xxxx/
</VirtualHost>

Listen 94.xxx.xxx.30:443
NameVirtualHost 94.xxx.xxx.30:443

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/var/run/ssl_mutex"

<VirtualHost 94.xxx.xxx.30:443>

DocumentRoot "/home/vhosts/xxxx2/"
ServerName xxxxx.zzzzz.pl:443
ServerAlias http://www.xxxxx.zzzzz.pl:443
ServerAdmin t.buziak@xxxxx.zzzzz.pl
ErrorLog "/var/log/httpd-error.log"
TransferLog "/var/log/httpd-access.log"

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM
SSLCertificateFile "/usr/local/etc/apache22/xxxxx.zzzzz.pl.crt"
SSLCertificateKeyFile "/usr/local/etc/apache22/xxxxx.zzzzz.pl.key"
SSLCertificateChainFile "/usr/local/etc/apache22/DVSSLChain-SHA2.crt"

<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/apache22/cgi-bin">
SSLOptions +StdEnvVars
</Directory>

BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

CustomLog "/var/log/httpd-ssl_request.log" \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

lizard · Post autor: **lizard** » 23 lutego 2016, 22:03

uho pisze:Gdy mam poddomenę skonfigurowaną na vhoscie:80 np zzz.xxxxx.pl, po wklepaniu w przeglądarkę od razu wyskakuje komunikat z błędnym certyfikatem

Certyfikat najprawdopodobniej dotyczy samej domeny xxxxx.pl, a nie poddomen.

Wpisy w Twoim konfigu spoza dyrektyw VirtualHost dublują się w z /etc/apache2/ports.conf i modułem SSL. Może tu jest problem? Używasz mod_rewrite?

uho · Post autor: **uho** » 24 lutego 2016, 07:51

Certyfikat jest pod dwie domeny xxxx.zzzz.pl i http://www.xxxx.zzzz.pl, te same domeny mam skonfigurowane na 80 i 443, wcześniej gdy cert byl nieautentyczny, było ok.
Czytałem jeszcze o nowym zabezpieczeniu HSTS, które wymusza https, za to odpowiada wpis "Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload", wyłączałem to i nadal ten sam efekt.
Używam rewrite, ale nie na wszystkich vhostach.