ANLEITUNG: Kompletter Shop über https mittels SSL geschützt

[noRiddle (revilonetz)]

Ihr redet auch sicher von der selben Änderung am Code ?
hpzeller hat einen Vorschlag gemacht und Hetfield ebenso, wobei letzter dazu sagte, daß es seiner Meinung nach die einzige Änderung sei der es bedarf (abgesehen von einem Redirect in der Root- .htaccess).
Im Threadverlauf erscheint es mir so als habe p3e lediglich Hetfields Vorschlag benutzt während Cicero ja deutlich sagt er habe die Änderung hpzellers benutzt (und evtl. die Hetfields ebenso ?).

Gruß,
noRiddle

[p3e]

Nachtrag: ... zumal die /create_account.php schon immer über SSL lief.

Ich sehe da eher keinen Zusammenhang, bin aber zur Sicherheit gestern und heute noch einmal die Log_Dateien von meinem System durchgegangen. Ich habe keine Fehler seit Umstellung auf SSL (außer die üblichen Dinge wie Zugriffsversuch auf einen geschützen Bereich oder auf nicht vorhandene Dateien).

[p3e]

Ihr redet auch sicher von der selben Änderung am Code ?
hpzeller hat einen Vorschlag gemacht und Hetfield ebenso, wobei letzter dazu sagte, daß es seiner Meinung nach die einzige Änderung sei der es bedarf (abgesehen von einem Redirect in der Root- .htaccess).
Im Threadverlauf erscheint es mir so als habe p3e lediglich Hetfields Vorschlag benutzt während Cicero ja deutlich sagt er habe die Änderung hpzellers benutzt (und evtl. die Hetfields ebenso ?).

Gruß,
noRiddle

Ich dachte, aus dem Threadverlauf geht hervor, dass ich alle drei Änderungen (Hetfield, hpzeller und die Umleitung in der .htaccess) vorgenommen habe.
Die sind eigentlich auch nur in der Kombination sinnvoll.

[noRiddle (revilonetz)]

Okay, dann habe ich etwas verkehrt nachvollzogen.

Hetfield sagte allerdings:

Wenn man den kompletten Shop mit SSL (natürlich nicht SSL-Proxy) verschlüsseln will, dann reicht eigentlich folgende Einstellung in den configure-Dateien aus:
[...]

Das klingt mir danach als würden die Änderungen von hpzeller unnötig sein.

Ich kann es leider nicht testen, da ich auf meiner Shop-Testumgebung kein SSL-Zertifikat habe.

Wenn du, p3e, allerdings mit den von dir genannten Änderungen keine Probleme hast, dann klingt das ja erstmal gut.

Gruß,
noRiddle

[Ceciro]

Die Änderungen von Hetfield wurden schon vor Jahren eingepflegt, da der Shop seit 2012 komplett auf SSL läuft. Ich hatte bei den bisherigen Tests nur die Änderungen von hpzeller zusätzlich eingebaut. Aktuell läuft ein dritter Versuch mit der Ergänzung der .htaccess.

Gruß Cicero

[p3e]

@noRiddle: Du hast Recht, die verschiedenen Aussagen sind etwas verwirrend und mit Hetfields Änderung alleine geht es definitiv nicht (bzw. nur inkl. der Session-ID in der URL).

Wie gesagt läuft es bei mir seit über einer Woche problemlos.

Ich habe mich in der Vergangenheit genau wie Du damit beschäftigt, wie man den Shop auf SSL umstellt ohne die Session-IDs mitzuschleppen, habe dabei tief in den Strukturen des Shops gesucht und keine wirklich praktikable Lösung gefunden (ging immer in Richtung Flickschusterei). Von daher bin ich auch genauso verwundert, dass es nach all der Suche mit den drei Umstellungen erledigt ist
Ich denke hpzeller hat die Nadel im Heuhaufen gefunden, die anderen beiden Umstellungen sind aber ebenfalls nötig.

[noRiddle (revilonetz)]

Sehr gut, danke dir für die Richtigstellung.
Das sollte man dann vielleicht mal ins WIKI einstellen.
Mit "man" meine ich natürlich auch mich, ich würde es nur vorziehen wenn es jemand täte der es bereits erfolgreich getestet hat.

Gruß,
noRiddle

[p3e]

Da hast Du Recht, ich teste es aber noch eine Weile ...

[p3e]

Der Übersicht halber hier nochmal die drei nötigen Änderungen zusammengefasst:

1. Mit Dank an hpzeller:

In includes/application_top.php ab ca. Zeile 273 folgenden Code

Code: PHP  [Auswählen]

elseif (($request_type == 'SSL') && isset ($_GET[session_name()])) {
  session_id($_GET[session_name()]);
}

mit diesem Code ersetzen

Code: PHP  [Auswählen]

elseif (($request_type == 'SSL') && isset ($_GET[session_name()]) && $_GET[session_name()] != $_COOKIE[session_name()]) {
  session_id($_GET[session_name()]);
}

2. Mit Dank an Hetfield: Wichtig! Alle http:// durch https:// ersetzen und ENABLE_SSL auf false setzen.

Wenn man den kompletten Shop mit SSL (natürlich nicht SSL-Proxy) verschlüsseln will, dann reicht eigentlich folgende Einstellung in den configure-Dateien aus:

/includes/configure.php:

Code: PHP  [Auswählen]

define('HTTP_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');
define('HTTPS_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');
define('ENABLE_SSL', false);

/admin/includes/configure.php:

Code: PHP  [Auswählen]

define('HTTP_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');
define('HTTP_CATALOG_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');
define('HTTPS_CATALOG_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');
define('ENABLE_SSL_CATALOG', 'false');

3. Mit Dank an cplasa (Ursprungs-Code leicht modifiziert):
In die .htaccess nach “RewriteEngine On“ einfügen:

Code: PHP  [Auswählen]

  ##-- redirect to https www-domain, when www is missing and no subdomain given and not using an ssl-proxy
 RewriteCond %{HTTP_HOST}                 !^www\. [NC]
  RewriteCond %{HTTP_HOST}                 !\.(.*)\. [NC]
  RewriteCond %{HTTP_HOST}                 !^localhost [NC]
  RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  RewriteCond %{HTTPS} off
  RewriteCond %{SERVER_PORT} !^443$
  RewriteCond %{HTTP:X-Forwarded-Proto} !https
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Achtung!

Einige Webserver haben Probleme mit diesen 3 Zeilen:

Code: PHP  [Auswählen]

  RewriteCond %{HTTPS} off
  RewriteCond %{SERVER_PORT} !^443$
  RewriteCond %{HTTP:X-Forwarded-Proto} !https

Typische Fehlermeldung im Firefox: "Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann."

In diesem Fall die Zeilen einzeln nacheinander auskommentieren (#) und testen welche Einstellung der Webserver unterstützt.

Wichtig: Beim Hoster darf keine SSL-Zwangsumleitung von http -> https aktiviert werden!


[EDIT Tomcraft 31.12.2015: Fehler in Code korrigiert.]
[EDIT Tomcraft 31.12.2015: Anleitung in Beitrag 1 verlinkt.]
[EDIT Web28 06.10.2016: Code für .htaccess geändert.]
[EDIT Tomcraft 28.03.2017: Code für .htaccess geändert.]
[EDIT Tomcraft 09.08.2017: Hinweis für SSL-Zwangsumleitung beim Hoster ergänzt.]

[Fakrae]

für's zusammenfassen p3e.
Aber kann es sein, dass in deiner /admin/includes/configure.php die Hochkommas nicht ganz stimmen?

Code: PHP  [Auswählen]

define('HTTP_SERVER', ''https://SUBDOMAIN.DOMAIN.TLD');

müsste doch eher

Code: PHP  [Auswählen]

define('HTTP_SERVER', 'https://SUBDOMAIN.DOMAIN.TLD');

heißen, oder?

[EDIT Tomcraft 31.12.2015: Korrektur in Beitrag 1, Antwort #9 & Antwort #38 übernommen.]

[p3e]

Ja, das stimmt,  Fakrae. Danke für den Hinweis! Vielleicht kann das ein Moderator noch korrigieren. Ist schon auf der ersten Seite falsch, von wo ich das übernommen habe. Also da besser auch korrigieren. Ich denke, dass es noch niemandem aufgefallen ist, da man in der configure.php eher das s ergänzt und ENABLE_SSL auf false setzt statt mit Copy&Paste zu arbeiten.

[fahne]

Hallo,

ich nutze Modified Version 1.06.
Ich habe ein SSL Zertifikat von 1und1 erworben (kein SSL-Proxy).
Ich habe den Shop auf SSL umgestellt (2x configure.php) angepasst.
Der Warenkorb ist SSL verschlüsselt. (shopping_cart.php)
Wie kann ich aber den kompletten Shop auf SSL (https) umstellen?
Was soll ich in aplication_top.php ändern?
Wie macht man eine komplette SSL umstellung?
Ich habe alle Forumbeiträge gelesen, aber ich komme nicht weiter.
Vielen Dank im Voraus!

[Bonsai]

Kannst Du mal bitte den letzten Teil des letzten Posts von p3e hier im Thread nochmal lesen und umsetzen ....

Wenn in den configure Dateien bei HTTP Host https:// drin steht und die rewrite rule gesetzt ist in der .htaccess, dann wird automatisch auf https umgeleitet ...

Edit sollte die .htaccess noch _.htaccess heißen, schau Dir bitte zuerst das Thema SEO URLs an!

[kumpelmagnet]

Hallo,

kann es sein das bei der SP3 Version der 1. Teil der Anleitung includes/application_top.php nicht
mehr notwendig, bzw schon eingebaut ist ?

Grüsse

Anton

[Bonsai]

Wenn ich die Release notes der SP3 richtig verstanden habe, ja.