ANLEITUNG: Kompletter Shop über https mittels SSL geschützt

[cplasa]

...was dann so aussehen könnte:

non-www to www
non-ssl to ssl

.htaccess

Code: PHP  [Auswählen]

RewriteCond %{HTTP_HOST} !^www\.yourdomain\.de$ [NC]
RewriteRule ^(.*)$ https://yourdomain.de/$1 [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.yourdomain.de/$1 [R=301,L]

[Fakrae]

Code: PHP  [Auswählen]

RewriteCond %{HTTP_HOST} !^www\.yourdomain\.de$ [NC]
RewriteRule ^(.*)$ https://yourdomain.de/$1 [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.yourdomain.de/$1 [R=301,L]

So sieht mir das richtiger aus:

Code: PHP  [Auswählen]

RewriteCond %{HTTP_HOST} !^www\.yourdomain\.de$ [NC]
RewriteRule ^(.*)$ https://www.yourdomain.de/$1 [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.yourdomain.de/$1 [R=301,L]

[p3e]

Hast Du das getestet? Ich denke da sind zwei Fehler drin:

• In der zweiten Zeile hast du das www vergessen, denn das willst Du mit der Regel doch ergänzen, oder?
  
• in der vierten Zeile fehlt das ^ vor dem (.*)

Ich habe es jetzt aber auch nicht getestet und gerade bei den Rewriteregeln sieht man ja manchmal den Wald vor lauter Bäumen nicht

Meiner Meinung nach würde es dann so aussehen:

Code: PHP  [Auswählen]

RewriteCond %{HTTP_HOST} !^www\.yourdomain\.de$ [NC]
RewriteRule ^(.*)$ https://www.yourdomain.de/$1 [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://www.yourdomain.de/$1 [L,R=301]

EDIT: Fakrae war zumindest im ersten Punkt schneller

[p3e]

Irgendwie wird die Session-ID trotzdem nicht mehr entfernt. Nur wenn ich Sie manuell in der URL-Zeile entferne bleibt Sie verschwunden. Sie ist also nicht mehr notwendig, wird aber weiterhin in den Links mitgenommen, solange sie in der URL vorhanden ist.
Oder habt Ihr sonst noch etwas angepasst?

[Hansi73]

Siehe: Umstellung auf HTTPS shopweit - MODsid bleibt in der URL

[Bonsai]

includes/application_top.php

Code: PHP  [Auswählen]

// set the session ID if it exists
if (isset ($_POST[session_name()])) {
  session_id($_POST[session_name()]);
}
elseif (($request_type == 'SSL') && isset ($_GET[session_name()]) && $_GET[session_name()] != $_COOKIE[session_name()]) {
  session_id($_GET[session_name()]);
}

[p3e]

Danke, damit geht es und die Session-ID wird nur noch angehängt, wenn die Cookies im Browser deaktiviert sind.

Werde es die nächsten Tage mal auf dem Testsystem ausgiebig testen oder habt Ihr das bereits produktiv im Einsatz?

[Bonsai]

Seit gestern.

[noRiddle (revilonetz)]

Das sollte man ins Handbuch aufnehmen, da steht nämlich das:

9.51 [DEV] Shop durchgehend mit SSL-Verschlüsselung betreiben
Mit einem kleinen Trick ist es problemlos möglich, den gesamten Shop mit SSL-Verschlüsselung zu betreiben:
In der Datei „configure.php“ im Verzeichnissen /includes/ und /admin/includes/ die Variable ‚HTTP_SERVER‘ ebenfalls auf die https-Version der Shoplinks lenken.

Code: PHP  [Auswählen]

define('HTTP_SERVER', 'https://www.mein-shop.de');
define('HTTPS_SERVER', 'https://www.mein-shop.de');
define('ENABLE_SSL', true);

Generell ist dies jedoch wenig sinnvoll, da verschlüsselte SSL-Verbindungen den Shopserver stärker beanspruchen und der Shop bei vielen gleichzeitigen Zugriffen tendenziell langsamer reagieren wird.

...wobei die letzte Bemerkung auch obsolet sein dürfte.

Gruß,
noRiddle

[Bonsai]

Wir hatten es gerade von der ?MODsid die immer angehängt wird.

Also das Thema: FEHLER: Session wird bei jedem Link-Klick neu gesetzt!

[cplasa]

@Fakrae & p3e

...stimmt hatte da doch tatsächlich das www vergessen. Danke für die Ergänzung

[noRiddle (revilonetz)]

Wir hatten es gerade von der ?MODsid die immer angehängt wird.

Also das Thema: FEHLER: Session wird bei jedem Link-Klick neu gesetzt!

Wie meinen ?, ich verstehe nicht was du meinst.

Gruß,
noRiddle

[Ceciro]

Hallo noRiddle,

Hey Cicero. Hast du inzwischen Ergebnisse deiner Tests ?

Die Änderung (von hpzeller) hatte ich eingebaut und wieder entfernt, da es laienhaft formuliert zu Auffälligkeiten kam. So gab es per eMail beispielsweise folgende Fehlermeldung:

Code: SQL  [Auswählen]

1062 - Duplicate entry '12345' FOR KEY 'PRIMARY'

INSERT INTO customers_info (customers_info_id, customers_info_number_of_logons, customers_info_date_account_created) VALUES ('12345', '0', now())

Request URL: www.shop.de/create_account.php

Die customer_id wurde mehrfach vergeben, was dann auch zu Fehlern in der adress_book - Tabelle geführt hat.

Gruß Cicero

[p3e]

Ich teste das jetzt auch seit einer Woche produktiv in einem gut besuchten Shop und habe keine Fehler feststellen können.
Meinst Du nicht, dass der Fehler in der Datenbank eher mit etwas anderem zu tun hat?

[Ceciro]

Das ist gut möglich. Es gab einen zeitlichen Zusammenhang zwischen dem Einbau und dem Auftreten der Datenbankfehlermeldung und keine zeitgleichen Änderungen am Server oder Shop.

Gruß Cicero