Drupal ssl साथ होस्टिंग

HTTPS का एक प्रोटोकॉल जो HTTP अनुरोध और अपनी प्रतिक्रिया एन्क्रिप्ट करता है। इससे यह सुनिश्चित होता है कि अगर किसी को अपने कंप्यूटर और आप जिस सर्वर से अनुरोध कर रहे हैं के बीच नेटवर्क समझौता करने में सक्षम थे, वे में सुनने या संचार के साथ छेड़छाड़ करने में सक्षम नहीं होगा।

जब आप HTTPS के द्वारा साइट पर जाएँ, URL ऐसा दिखाई देगा: https://drupal.org/user/login। जब आप सादा (एन्क्रिप्ट नहीं किए गए) HTTP के माध्यम से एक साइट पर जाएँ, यह इस तरह दिखता है: drupal.org/user/login।

मेजबानी

क्यों यह आपके लिए महत्वपूर्ण है (और जब) है

HTTPS का आम तौर पर स्थितियों में प्रयोग किया जाता है, जहां एक उपयोगकर्ता है कि जानकारी का एक वेबसाइट और अवरोधन के लिए संवेदनशील जानकारी भेजना होगा एक समस्या होगी। आमतौर पर, इस जानकारी में शामिल हैं:

  • क्रेडिट कार्ड
  • जैसे PHP सत्र कुकीज़ के रूप में संवेदनशील कुकीज़
  • पासवर्ड और उपयोगकर्ता नाम
  • पहचान योग्य जानकारी (सामाजिक सुरक्षा नंबर, राज्य आईडी नंबर, आदि)
  • गोपनीय सामग्री

विशेष रूप से स्थितियों में, जहां आप, व्यवस्थापक के रूप में, अपने Drupal पासवर्ड या FTP पासवर्ड आपके सर्वर के लिए भेज रहे हैं में, आप HTTPS का उपयोग करना चाहिए जब भी संभव हो अपने वेब साइट समझौता के जोखिम को कम करने के लिए।

HTTPS भी अपने प्रमाणीकृत सत्र कुंजी है, जो एक कुकी साइट के लिए प्रत्येक अनुरोध के साथ अपने ब्राउज़र से भेजा है प्राप्त करने, और यह का उपयोग कर आप को प्रतिरूपित करने से छुपकर रोका जा सकता है। उदाहरण के लिए, एक हमलावर अगर आप एक साइट व्यवस्थापक HTTPS के बजाय HTTP के माध्यम से साइट तक पहुँचने हैं साइट पर व्यवस्थापकीय पहुंच प्राप्त कर सकते हैं। इस सत्र अपहरण के रूप में जाना जाता है और इस तरह के Firesheep जैसे उपकरणों के साथ पूरा किया जा सकता है।

सुरक्षा एक संतुलन है। अधिक HTTPS ट्रैफ़िक लागत सेवित HTTP अनुरोध से संसाधनों (दोनों सर्वर और वेब ब्राउज़र के लिए) और आप इस वजह से जहां साइट के मालिक तय कर सकते हैं HTTPS जो पृष्ठों या उपयोगकर्ताओं का उपयोग करना चाहिए मिश्रित HTTP / HTTPS का उपयोग कर सकेंगे।

Drupal में HTTPS समर्थन को सक्षम कैसे करें

  1. प्रमाण पत्र प्राप्त करे। कई होस्टिंग प्रदाता आप के लिए इन्हें सेट - स्वत: या एक शुल्क के लिए। तुम भी आइए एन्क्रिप्ट का उपयोग जो मुक्त, स्वचालित है, और प्रमाणपत्र प्राधिकारी खोल सकते हैं। यदि आप एक परीक्षण स्थल सुरक्षित करना चाहते हैं, तो आप के बजाय एक स्व-हस्ताक्षरित प्रमाणपत्र उत्पन्न कर सकता है।
  2. अपने वेब सर्वर कॉन्फ़िगर करें। कुछ उपयोगी लिंक:
    • अपाचे निर्देश।
    • nginx निर्देश
    • उबंटू अनुदेश

    संभावना है कि कर रहे हैं, यदि आप साझा या होस्टिंग प्रबंधित उपयोग कर रहे हैं अपने webhost आप के लिए ऐसा कर सकते हैं।

    नोट: स्वच्छ यूआरएल आप HTTP और HTTPS के लिए अपाचे उपयोग कर रहे हैं:

    आप शायद दो अलग VirtualHost बाल्टी होगा।

    1. बंदरगाह के लिए एक बाल्टी: 80 http
    2. बंदरगाह के लिए एक बाल्टी: 443 https

    इन VirtualHost कंटेनर या बाल्टी में से प्रत्येक की आवश्यकता होती है, जो किसी विशेष अपाचे निर्देश आप स्वच्छ URL का उपयोग कर रहे हैं तो उनके भीतर जोड़ दिया। इसका कारण यह है Drupal .htaccess और mod_rewrite के व्यापक उपयोग अनुकूल URL प्रदान करने की बना देता है।

    Drupal बल्कि HTTP के माध्यम से ssl साइट के साथ की मेजबानी

    सुनिश्चित करें कि आप है डायरेक्टिव, जो VirtualHost कंटेनर के नीचे एक बच्चा है के भीतर निम्नलिखित: देखें AllowOverride के लिए अपाचे प्रलेखन

    इसका मतलब है कि अपनी .htaccess पूर्वता लेता है और कहा कि अपाचे विन्यास के रूप में आप Drupal के लिए उम्मीद करेंगे इसे चलाने के लिए अनुमति देगा।

    समस्या निवारण:
    443 बाल्टी जरूरत AllowOverride सभी सक्षम तो URL, HTTPS मोड में रहते हुए फिर से लिखा जा सकता है: आप HTTPS सक्षम है और यह केवल मुखपृष्ठ पर काम करता है और अपने उप लिंक टूट चुके हैं, तो ऐसा इसलिए VirtualHost है।

    Drupal 7 पर, आप मिश्रित मोड HTTPS और HTTP सत्र का समर्थन करना चाहते हैं, साइटों / डिफ़ॉल्ट / settings.php खुल जाएगा और $ conf [ 'https'] जोड़ सही = ;. यह सक्षम बनाता है तुम दोनों HTTP और HTTPS पर एक ही सत्र का उपयोग - लेकिन दो कुकीज़ जहां HTTPS कुकी केवल HTTPS पर भेजा जाता है। securepages इस विधा के साथ कुछ भी उपयोगी करने के लिए की तरह, HTTPS पर फ़ॉर्म सबमिट की तरह आप योगदान मॉड्यूल का उपयोग करने की आवश्यकता होगी। अपने HTTP जबकि कुकी अभी भी सभी सामान्य हमले के लिए असुरक्षित है। एक का अपहरण कर लिया असुरक्षित सत्र कुकी केवल HTTP साइट पर प्रमाणीकृत पहुँच प्राप्त करने के लिए किया जा सकता है, और यह HTTPS साइट पर मान्य नहीं होगा। यह एक समस्या है या नहीं कि आपकी साइट की जरूरतों और विभिन्न मॉड्यूल विन्यास पर निर्भर करता है। उदाहरण के लिए, सभी रूपों HTTPS के माध्यम से जाने की तैयारी में हैं और अपने दर्शकों के लिए एक ही जानकारी के रूप में उपयोगकर्ताओं में लॉग इन देख सकते हैं, यह नहीं एक समस्या है।

    ध्यान दें कि Drupal 8 में, मिश्रित मोड समर्थन हटा दिया गया है # 2,342,593: कोर से मिश्रित एसएसएल समर्थन निकालें।

    और भी बेहतर सुरक्षा के लिए, HTTPS के माध्यम से सभी प्रमाणीकृत यातायात भेजने और अनाम सत्र के लिए HTTP का उपयोग करें। Drupal 8 पर, सुरक्षित लॉगिन मॉड्यूल जो मिश्रित सामग्री की चेतावनी का समाधान करता है स्थापित करें। Drupal 7 पर, डिफ़ॉल्ट मान (FALSE) पर $ conf [ 'https'] छोड़ने के लिए और सुरक्षित लॉगिन स्थापित करें। Drupal 7 और 8 स्वचालित रूप से HTTPS साइटों पर session.cookie_secure PHP विन्यास, जिसकी वजह से एसएसएल-केवल सुरक्षित सत्र कुकीज़ ब्राउज़र को जारी किए जाने को सक्षम करें। Drupal 6 पर, योगदान मॉड्यूल 443 सत्र और सुरक्षित लॉगिन करें देखें।

    सबसे अच्छा संभव सुरक्षा के लिए, अपनी साइट को केवल HTTPS का उपयोग करने के लिए, और अपने HTTPS साइट के लिए एक रीडायरेक्ट के साथ सभी HTTP अनुरोध का जवाब की स्थापना की। Drupal 7 के $ conf [ 'https'] को उसके डिफ़ॉल्ट मान शुद्ध HTTPS साइटों पर (FALSE) पर छोड़ा जा सकता है। फिर भी, HTTPS मैन-इन-द-मिडल हमलों की चपेट में है, तो कनेक्शन HTTPS ले जाया जा रहा से पहले एक HTTP कनेक्शन के रूप में बाहर शुरू होता है। HSTS मॉड्यूल या सुरक्षा किट मॉड्यूल का उपयोग करें। या अपने वेब सर्वर में सख्त-परिवहन-सुरक्षा शीर्ष लेख निर्धारित करते हैं, और ब्राउज़र HSTS प्रीलोड सूची में अपना डोमेन जोड़ें। उन HTTPS के बिना साइट तक पहुँचने से रोका जा सके।

    आप https://example.com में example.com और www.example.com से सभी यातायात पुनर्निर्देशित कर सकते हैं। आप नीचे दिए गए कोड को अपने सर्वर विन्यास फाइल करने के लिए है, यानी VirtualHost परिभाषाएँ जोड़ कर ऐसा कर सकते हैं:

    आप मुख्य सर्वर विन्यास फाइल करने के लिए पहुँच नहीं है, तो और इसके बदले एक .htaccess फाइल में इस कार्य को करने के लिए बाध्य कर रहे हैं फिर से लिखना के उपयोग के लिए उपयुक्त होंगे:

    समझा है कि www.example.com (और इसके विपरीत) में example.com रीडायरेक्ट करने के लिए कैसे .htaccess में मौजूदा टिप्पणी नहीं है, लेकिन इस कोड यहाँ https://example.com करने के लिए उन दोनों को पुनर्निर्देश।

    bjdeliduka 27 फरवरी 2015 टिप्पणी की 21:25 पर

    विषय कहते हैं। खुशियाँ।

    मेरा एक ग्राहक ड्रुपल 7 साइटों के साथ कई ग्राहक हैं। हम CloudFlare (www.cloudflare.com) हम वे मुफ्त एसएसएल Certs, वेब कैशिंग, और DDoS संरक्षण / शमन की पेशकश के पीछे उन सभी को बढ़ रहे हैं। हम तो सर्वर फ़ायरवॉल केवल सीएफ कैश से कनेक्शन स्वीकार और यह सुनिश्चित करें कि वास्तविक HTTP सर्वर DNS में सूचीबद्ध नहीं है, बनाने के लिए (क्लाइंट / ब्राउज़रों CF सर्वर जो तब वास्तविक सर्वर से पृष्ठों लायेगा से कनेक्ट करना चाहिए)। Drupal सर्वर (centos पर अपाचे 2.4) भी सीएफ और सर्वर के बीच कनेक्शन को एन्क्रिप्ट करने SSL (साथ ही सब कुछ सादे पाठ से बाहर रखने हो सकता है)

    ऊपर दिखता है और सभी कनेक्शनों का बीमा करने के लिए एक महान समाधान की तरह लगता है जबकि एन्क्रिप्ट किए गए हैं हम कुछ पृष्ठों है कि IFRAMES कि एन्क्रिप्टेड सामग्री लोड के साथ एक समस्या का सामना करना पड़ा। (वेब ब्राउज़र एक त्रुटि जब ऐसा होता है फेंक और अक्सर उपयोगकर्ता के हस्तक्षेप के बिना सामग्री लोड करने के लिए मना कर दिया)।

    विकल्प शामिल 1) एक प्रॉक्सी की स्थापना और असुरक्षित सामग्री को एन्क्रिप्ट। तकनीकी रूप से संभव हालांकि यह उपयोगकर्ता प्रभाव देता सत्र सुरक्षित है, जबकि सामग्री के कुछ सादे पाठ में है (हालांकि नहीं करने के लिए / ग्राहक से)। 2) सामग्री ड्रॉप जब तक यह एक सुरक्षित कनेक्शन के माध्यम से उपलब्ध है (ग्राहक / ग्राहक इस विकल्प को पसंद नहीं आया) 3) बल पृष्ठों इस सामग्री वाले एन्क्रिप्ट नहीं किए गए (http) कनेक्शन है, जबकि शेष साइट एन्क्रिप्टेड है किया जाना है।

    हम विकल्प 3 चुना है।

    साइटों पहले से .htaccess फाइल में एक रिराइट नियम का उपयोग इस तरह के हर http के रूप में (शायद प्रदर्शन कारणों से vhost config फाइलों में इन पर आ जाएगा लेकिन केवल तभी जब हम .htaccess फ़ाइलों को अक्षम करने पर सहमत कर सकते हैं) https के लिए कनेक्शन पुनर्निर्देशित करने के लिए कॉन्फ़िगर किया गया था कनेक्शन hTTPS कनेक्शन हो जाता है।

    आम तौर पर एक RewriteRule रूप में बनाया जा सकता है:

    असुरक्षित आइफ्रेम के साथ पेज के लिए कनेक्शन को पकड़ने के लिए। (HTTP और HTTPS के मेल नहीं खाने वाले के लिए मिलान पुनर्लेखन)

    साफ यूआरएल के सक्षम के साथ इस कोशिश करते हैं और क्योंकि Drupal को प्रस्तुत हर पृष्ठ अनुरोध /index.php पर रीराइट इंजन के माध्यम से एक अंतिम पास करता है आप एन्क्रिप्ट नहीं किए गए पेज कभी नहीं मिलता है।

    मैं सही कारण के अनिश्चित हूँ लेकिन secure_pages एक व्यवहार्य विकल्प नहीं माना गया।

    अंतिम परिणाम समाधान 13 RewriteRule / RewriteCond लाइनों है कि प्रभावी रूप से सभी लेकिन कुछ चुनिंदा (1 या अधिक) https कनेक्शन के लिए पृष्ठों के लिए मजबूर कर के लिए secure_pages मॉड्यूल की जगह ले सकता की एक श्रृंखला है।

    / स्ट्रीमिंग-पृष्ठ और साइट के रूट पृष्ठ HTTP हैं शेष साइट HTTPS का है। अतिरिक्त पृष्ठों निम्नलिखित यह प्रारूप है / स्ट्रीमिंग-पृष्ठ की रेखा के नीचे अतिरिक्त पसंद जोड़कर HTTPS से बाहर रखा जा सकता है।

    केवल ज्ञात पक्ष इस कोड का असर है कि एन्क्रिप्ट नहीं किए गए पृष्ठों का संपादन और अधिक जटिल के रूप में admin_menu एन्क्रिप्ट नहीं किए गए पृष्ठों पर चला जाता है है। संस्करण 1.1 एक ग्राहकों ब्राउज़र (ब्राउज़र त्रुटियों में जिसके परिणामस्वरूप कि डेवलपर्स जबकि पृष्ठों का संपादन रूप में की जरूरत के साथ सौदा होगा) से http पक्ष को निष्क्रिय करने की एक विधि शामिल होंगे मैं भी .htaccess फ़ाइलों और में इस डाल पर एक अधिक विस्तृत निर्देशों पर ध्यान देंगे www जैसी चीजों के लिए अवांछित / अनावश्यक कोड को निकालने के। अलग करना (या पूर्व लंबित) आदि

    selinav 25 अप्रैल 2017 टिप्पणी की 09:51 पर

    Bairnsfather अप्रैल 2017 टिप्पणी की 26 17:29 पर

    मैं एक लंबे समय के लिए https://www.drupal.org/project/securepages साथ बहुत खुश किया गया है। बस विन्यास पेज लोड और क्षेत्र है जो पृष्ठों के लिए आप सुरक्षित चाहते हैं, अर्थात सभी में एक तारक डाल दिया। मुझे लगता है कि परियोजना पेज के शीर्ष पर चेतावनी बासी है, मैं पैच के बिना मॉड्यूल का इस्तेमाल किया या पिछले कुछ 7.x रिलीज के लिए मेरी .htaccess को संशोधित किया है। अपने settings.php की जाँच करें और सुनिश्चित करें कि base_url चर https, नहीं में http बनाते हैं।

    [संपादित करें] लेकिन यह अंतिम शब्द के रूप में वर्तमान में सबसे अच्छा तरीका पर नहीं लेते हैं तो कृपया https इन दिनों के लिए सभी यातायात पुनर्निर्देशित करना। हाल ही में पढ़ने के आधार पर, ऐसा लगता है जहां चीजें ओर बढ़ रहे हैं HSTS है।

    Bairnsfather 9 मई 2017 टिप्पणी की 17:30 पर

    यहाँ मुझे लगता है कि D7 के लिए काम करने लगता है था D8 (विशेष रूप से 7.54 के रूप में 8.3.1 अपाचे पर php 5.6.30 के साथ 2.4.5) केवल संशोधनों नीचे वर्णित के साथ शेयर .htaccess फाइल का उपयोग कर। सरल शब्दों में, सख्त-परिवहन-सुरक्षा लाइन शुरू में https करने के लिए http से यातायात को रीडायरेक्ट नहीं होंगे। (यह लाइन HTTP अनुरोध पर नहीं देखा जाता है और पुराने ब्राउज़र यह समझ में नहीं आता।) इस प्रकार एक फिर से लिखना के साथ पुनर्निर्देशन में रुचि; तथापि, कि एक MITM हमले की संभावना को खुला छोड़कर। लेकिन आशा DNSSEC और आधुनिक ब्राउज़र का HSTS समझता है, के साथ है केवल अनुरोध https संसाधनों के लिए एक दूसरे आपके ब्राउज़र याद होगा (अधिकतम उम्र सेकंड के लिए), यहां तक ​​कि आपकी साइट यदि कम से कम या किसी अन्य साइट एक http लिंक / पर संसाधन है यह। दूसरे शब्दों में एक बार अपने आधुनिक वेब ब्राउज़र को अपनी साइट से https के माध्यम से कोई पृष्ठ लोड, ब्राउज़र सीखता यह सख्त होना चाहिए और केवल https अनुरोध करने, भले ही यह एक संसाधन या लिंक को निर्दिष्ट http सामना करना पड़ता है।

    सबसे पहले, आप https के माध्यम से अपने सर्वर उपलब्ध है सुनिश्चित करें और अपने प्रमाण पत्र सभी उपडोमेन आप का उपयोग भी शामिल है। अधिकतम उम्र, अपनी आवश्यकताओं के लिए अनुकूलित, और पढ़ लें (कम से कम) https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security सेकंड में है (नीचे आरएफसी लिंक।)

    लाइनों के नीचे:

    तो फिर उन्हें बाहर टिप्पणी करने के लिए नीचे दिए गए तीन लाइनों के सामने एक # डाल; यह अब लागू नहीं होता क्योंकि हम बस https करने के लिए सभी यातायात के लिए मजबूर किया। निम्नलिखित लाइनों .htaccess फ़ाइल में और सिर्फ तुम क्या में चिपकाया नीचे पहले से ही कर रहे हैं।

    यह भी ध्यान रखें HSTS मॉड्यूल https://www.drupal.org/project/hsts D7 के लिए संस्करण होते हैं D8। जो अच्छा है अगर आप एकाधिक चलाने के लिए और नहीं सभी डोमेन एक प्रमाण पत्र है।

    आप अपने टर्मिनल आवेदन खोलने के द्वारा चीजों का परीक्षण करने और शीर्ष लेख का निरीक्षण करने के लिए विभिन्न तरीकों से अपनी मैं डोमेन कर्ल कर सकते हैं।

    इस वीडियो को देखें!

    संबंधित आलेख

    7 41 Drupal होस्टिंगप्रश्न के लिए 2013-07-23 1:22 pm EST धन्यवाद! हाँ, आप एक साझा SSL प्रमाणपत्र का उपयोग कर सकते हैं। साझा SSL प्रमाणपत्र पूर्व निर्धारित है, इसलिए वहाँ कोई विन्यास सर्वर साइट पर किया है। कृप्या...
    पहचान html पृष्ठ की मेजबानी वर्डप्रेसवर्डप्रेस में, आप या तो एक "पोस्ट" या एक "पेज" के रूप में अपनी साइट पर सामग्री डाल सकते हैं। जब आप एक नियमित रूप से ब्लॉग प्रविष्टि लिख रहे हैं, तो आप एक पोस्ट लिखने। पोस्ट, एक डिफ़ॉल्ट सेटअप में, रिवर्स में दिखाई देते हैं ...
    Faceted खोज अपाचे Solr Drupal होस्टिंगनोट: प्रेरणा प्रदान अंत में इस ब्लॉग पोस्ट पोस्ट करने के लिए डौग वान के लिए अतिरिक्त विशेष धन्यवाद! 2016 जब खोज API और Drupal 8 के लिए Solr से संबंधित मॉड्यूल जल्दी अल्फा में थे के प्रारंभिक दिनों में ...
    फील्ड उपकरण Drupal होस्टिंगएक प्रभावी खोज का परिचय एक कार्यान्वयन विकास में सबसे कठिन कार्यों में से एक है, लेकिन यह भी कई वेबसाइटों और अनुप्रयोगों की सफलता के लिए एक महत्वपूर्ण है। एक त्वरित खोज और ...
    Webfm मॉड्यूल Drupal होस्टिंगमैं एक वेबसाइट संग्रह है कि उपयोगकर्ताओं को वीडियो, ऑडियो, चित्र, दस्तावेज़ और पाठ सहित मीडिया सामग्री के विभिन्न विभिन्न प्रकार अपलोड कर सकते हैं बनाने रहा हूँ। मैं यह करने के लिए उपयोगकर्ताओं के लिए आसान बनाना चाहते हैं ...