https mit Apache

[madspike]

Wenn ich gesicherte Webseiten (https) und ungesicherte (http) über einen Apache-Webserver laufen lasse, muss ich dann noch zusätzlich etwas berücksichtigen in Bezug auf Datensicherheit?

Sprich: Wie soll die Struktur der Datenverzeichnisse für einen sicheren Betrieb aufgebaut sein?

Oder wäre es insgesamt besser 2 Server zu betreiben einen für https und einen für http?

[m@rio]

Zitat:

Original geschrieben von madspike
Sprich: Wie soll die Struktur der Datenverzeichnisse für einen sicheren Betrieb aufgebaut sein?

SSL (https) verschlüsselt nur die _Übertragung_ der Daten. Die Struktur dahinter ist, rein im Hinblick auf SSL, daher völlig egal.

[madspike]

Wenn ich nun die https-Verbindung nehme, damit sich die User mittels Benutzername und Kennwort anmelden, ist es danach noch sinnvoll die gesicherte Verbindung aufrecht zu erhalten?

Nach dem Einloggen kann ich dem Benutzer mittels der IP erkennen und die gewünschten Seiten doch auch nur mit einer http-Verbindung übermitteln.

[roro]

https hat an sich nichts mit einem Login zu tun, sondern nur dann die Daten verschlüsselt übertragen werden.
Die Einrichtung eines https-Server unter Apache zählt nicht unbedingt zu den einfachsten.

Einige wichtige Punkte.

* Korrektes Zertifakt erstellen
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

[m@rio]

Zitat:

Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.

Doch, tun sie problemlos. Du kannst nur pro IP nur einen SSL Host haben, da via https kein name-based virtual Hosting möglich ist.

[madspike]

Danke für die Antworten.

So wie ich das jetzt verstanden habe ist es wohl am Besten wenn ich zwei Virtual Hosts mache. Einen für das https-Login und den zweiten für http.Wobei der Zugriff auf den zweiten (http) nur dann autorisiert wird wenn man sich erfolgreich eingeloggt hat.

[madspike]

Zitat:

Original geschrieben von roro
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

Ja, der Server wird unter Linux laufen

[Potassium]

Zitat:

Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

ad 1: natürlich laufen sie auf der selben IP
ad2: aussichtslos? bei mir läuft der zu 100% stable.

Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)

[m@rio]

Zitat:

Original geschrieben von Potassium
Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)

Bei dem leider jeder "major Browser" (IE, Firefox...) eine Sicherheitswarnung ausgibt. Die in Wirklichkeit zwar irrelevant ist, aber vermutlich die breite DAU-Masse deutlich abschrecken wird.

[Potassium]

Tjoah, DAUs müssen halt zahlen