Cách tốt nhất để bắt buộc sử dụng Chứng chỉ SSL

Huw Evans

13:20, 19/08/2023

Khi một trình duyệt kết nối với trang web của tôi bằng cách nhập FQDN, kết nối đó được mã hóa bằng Chứng chỉ SSL của trang web.

Tuy nhiên, tôi nhận thấy rằng có thể bỏ qua SSL và bắt đầu kết nối không được mã hóa bằng cách nhập Địa chỉ IP của bộ cân bằng tải (trong trường hợp đó, bạn gặp lỗi cho biết không thể mã hóa địa chỉ này).

Liên kết bên dưới gợi ý rằng tôi có thể giải quyết vấn đề này bằng chuyển hướng.

Proxy ngược của Apache để các yêu cầu trình duyệt SSL cho IP của máy chủ được chuyển hướng đến FQDN

Đây có phải là phương pháp hay hay tôi thực sự nên buộc chứng chỉ vào địa chỉ IP ngoài FQDN?

0 + 0

cân bằng tải

chứng chỉ ssl

chứng chỉ ssl-lỗi

đại dương kỹ thuật số

Rob

14:14, 19/08/2023

Tôi không hiểu chính xác vấn đề hoặc cấu hình sai của bạn là gì, nhưng nói chung, cách tốt nhất là định cấu hình máy chủ web của bạn để không phân phát bất kỳ nội dung thực nào qua HTTP đơn giản trên cổng 80 mà chỉ sử dụng cổng 80 để chuyển hướng đến https . Khi bạn không có chứng chỉ cho địa chỉ IP, đơn giản là không (tạo a) chuyển hướng đến `https://` nhưng với `https://www.example.com` và bạn sẽ ổn thôi. Hoặc bạn có thể coi các yêu cầu HTTP không có miền/tên máy chủ (hợp lệ) là sai và chỉ cần phản hồi bằng một phản hồi lỗi phù hợp.

Hồi đáp

Brandon Xavier

14:16, 19/08/2023

IMHO, nếu bạn có bộ cân bằng tải, nó sẽ xử lý việc chuyển hướng http sang https. Và nếu bạn coi các kết nối giữa bộ cân bằng tải là đáng tin cậy - bạn có thể tiến thêm một bước và để bộ cân bằng tải xử lý tất cả quá trình xử lý SSL và chuyển lưu lượng truy cập đến các máy chủ web không được mã hóa. Sau đó, bạn chỉ phải duy trì chứng chỉ duy nhất trên LB.

Hồi đáp

Huw Evans

14:44, 19/08/2023

@Rob Tôi biết điều này và chắc chắn không có ý định cung cấp bất kỳ thứ gì qua HTTP đơn giản trên cổng 80. Vấn đề là nếu bạn đặt https:// nó phục vụ trang có lỗi 'không thể mã hóa'. Tôi không biết làm thế nào để thay đổi điều này.

Hồi đáp

Huw Evans

14:46, 19/08/2023

@BrandonXavier Có, nó chuyển hướng http sang https nhưng chỉ dành cho FQDN. Hiện tại, thiết lập giống như bạn mô tả mặc dù tôi đang xem xét tùy chọn mã hóa đầu cuối.

Hồi đáp

Huw Evans

14:49, 19/08/2023

Để tham khảo, đây là hướng dẫn tôi đã làm theo để thiết lập bộ cân bằng tải. https://docs.digitalocean.com/products/networking/load-balancers/how-to/ssl-termination/

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Best Way to Force use of SSL Certificate

TH: วิธีที่ดีที่สุดในการบังคับใช้ใบรับรอง SSL

RO: Cel mai bun mod de a forța utilizarea certificatului SSL

RU: Лучший способ принудительно использовать SSL-сертификат

VI: Cách tốt nhất để bắt buộc sử dụng Chứng chỉ SSL

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.