Portée SSL avec PHP [résolu]

[Romu]

Bonjour,


Je développe des services Web en PHP/Oracle.


Linuxien novice, je viens d'installer, pour test, un serveur Web Apache sous la distribution Sarge...

J'ai activé le mode SSL sur mon serveur, mais,novice en la matière, je rencontre quelques petits soucis...

Mon site web est formé de 2 parties, une première accessible tout public en HTTP et une seconde privée (avec authentification php) que je ne souhaiterai accessible qu'en HTTPS.

J'ai correctement configuré mon certificat provisoire et le mode HTTPS fonctionne correctement mais le hic c'est que je voudrai que mes pages privées ne soient accessibles qu'en mode sécurisé et actuellement toutes les pages (sous réserve d'être authentifié) sont accessible en HTTP...

J'espère avoir été limpide dans mon explication et je souhaite qu'on m'aide à résoudre ce pb...


Merci d'avance

[frost]

Regarde dans les directives SSL (la documentation !!! la doc !!!)

la doc est trés bien faite, en plus google est ton ami

http://ist.uwaterloo.ca/security/lib-proxy/howto/ssleay/apache.html

[Geoffroy_jojo]

moi, j'ai créé des virtual host, et autorisé uniquement les connections SSL dans un dossier, et libre dans les autres :

Code: Tout sélectionner

<VirtualHost servweb:443>
   ServerName 192.168.3.1
   SSLEnable
   DocumentRoot /var/www/https/
</VirtualHost>
<VirtualHost servweb:80>
   ServerName 192.168.3.1
   SSLDisable
   DocumentRoot /var/www/http/
</VirtualHost>

[Romu]

Super, merci beaucoup !

En fait, c'est beaucoup plus simple que je ne le pensais...

Quelquefois, on se met des barrières tout seul...


Juste une petite dernière... parce que je veux être sûr d'avoir bien compris....

Le hôtes virtuels me permettent de définir les zones sécurisées ou non, mais l'appel d'une URL dans une de ces zones me fait basculer automatiquement dans le bon protocole (HTTP ou HTTPS) ? C'est bien ça ?


Merci

[Geoffroy_jojo]

si tu tapes : https:// ==> ssl
si tu tapes : http:// ==> non_sécure

et voui, si tu fai un lien de ta zone httpS du style : http://pouet.htm, tu ne sera plus sécurisé et ta connection sera visible clairement, et inversement

[Romu]

euh, non, c'est pas tout à fait ça que je voulais dire....


Dans mon code, les URL ne contiennent pas le protocole utilisé, c'est du relatif....

Autrement dit, si je fais un bouton dans ma page d'accueil publique(http://www.exemple.com/public/accueil.htm) censé pointer vers la page d'authentification de ma partie privée (https://www.exemple.com/prive/authentification.htm), ça donne : <a href="../prive/authentification.htm">mon bouton</a>

Ma question est : "Ai-je bien compris si je pense que faire un lien vers le dossier prive (déclaré comme hôte virtuel en SSL Active dans Apache) me fera basculer automatiquement en mode secure et inversement ?"


Merci

[Geoffroy_jojo]

la meilleure solution à mon humble avis ...
tester

tu met tout tes fichier sur ton serveur apache, tu va dans la aprtie non-sécure et tu clic sur le lien vers le sécure, tu verra bien si un piti cadenas ou une clé (suivant ton navigateur) apparait, si ca apparait, "you win" ^^
sinon, you cry
si ca ne marche pas, met ton url en dur : "https://"

[frost]

A tout moment tu peux forcer quelqu'un qui est en http à passer dans un dossier qui doit être en https, inversement un dossier qui n'est pas inclu dans ta directive SSL te fera passer en http classique, est ce que cela répond à ta question ?

[Romu]

Ce sourire en dit long !!

Merci, ça répond effectivement à mon interrogation...

Y'a plus qu'à...