«HTTP» auf HTTPS umleiten

[cumulonimbus8]

Moin!

Ich stelle die Frage in diesem Unterforum da das Problem auf dem ich abziele nicht Websites, Webpages und Server sind sondern der Mensch an der Tastatur.

Rufe ich eine Website auf tippe ich (Schleichwerbung) google.de, maximal www.google.de - aber nicht http://google.de oder https://google.de.

Wie - und damit kommen wir leider wieder hinter die Kulissen - überrede ich Server (gehostete UNIX- wie WIN-Server) selbst auf die https://google.de umzuschalten um Browser zu überreden ein grünes Schlösschen zu melden?
Jegliche mögliche index.htm, index.php und-wie-sie-alle-heißen auf eine https://google.de/Anfang umleiten? Oder gibt es da andere Ansätze?

CN8

 

[aroxx]

Wenn ich dich richtig verstehe, bist du Serverbetreiber und möchtest, dass deine "Kunden" immer auf https weitergeleitet werden auch wenn sie http eingegeben haben?
Normalerweise bieten webserver wie apache diese Funktionalität.

 

[Trefoil80]

Über die .htaccess

https://www.domain-frage.de/ssl-redirect-301-weiterleitung-htaccess/

 

[kachiri]

Ist abhängig vom verwendeten Webserver (Apache, Nginx). Apache wurde schon verlinkt (entweder über die HostConfig oder eben via .htaccess), in Nginx dürfte es so gehen:

server {
       listen         80;
       server_name    my.domain.com;
       return         308 https://$server_name$request_uri;
}

308, weil permanenter Redirect und er soll einfach so weitermachen, bloß eben als gesicherte Verbindung. Analog zu 301.

 

[Schnuecks]

https://wiki.apache.org/httpd/RewriteHTTPToHTTPS

Wenn Du die Seite permanent auf HTTPS laufen lassen willst, kannst Du die Seite in HSTS Preload aufnehmen, die gängigen Browser lassen dann keine andere Verbindungsart mehr zu.

Hier kannst Du die Seite bei Bedarf eintragen lassen:
https://hstspreload.org

 

[LieberNetterFlo]

in haproxy würde es so aussehen

frontend http
        bind *:80
        bind :::80
        redirect scheme https code 301 if !{ ssl_fc }

 

[Konto gelöscht]

Mit IIS (da du ja auch Windows angesprochen hast) kannst du das mit dem URL Rewrite relativ simpel lösen. Da trägt mal das quasi in die web.config mit ein. Gibt viele kurze Anleitungen bei Google 🙂

 

[cumulonimbus8]

Die Antworten sind z.T. längst umgesetzt)- allein sie gehen an meiner Frage vorbei:

[…] tippe ich […] google.de, maximal www.google.de - aber nicht […]
Wie […] überrede ich Server […] umzuschalten um Browser zu überreden ein grünes Schlösschen zu melden?

Es gibt User denen will (was heißt ›will‹…) ich bei allem was sie eintippen klipp und klar anzeigen, dass sie eine gesicherte Verbindung benutzen. Sonst glauben sie das nicht, sonst unterstellen sie ich wäre unsicher.

Die Sites werden nicht über o.g. direkte Betretungslinks aufgerufen, es werden bestimmte Formen von Deep-Links benutzt. An dieser Stelle muss ich angreifen - sonst wäre es ja gar zu einfach.

CN8

 

[Konto gelöscht]

Verstehe nicht was du wissen willst, sorry 🤷‍♂️

 

[LieberNetterFlo]

na, grün wirds mit einem SSL Zertifikat und wenn du das hast und dein Webserver entsprechend konfiguriert hast, dann leitest du alle Anfragen von HTTP an HTTPS weiter (siehe vorige Antworten) und deine Benutzer sehen das "grüne Schlösschen"

Deeplink oder nicht (also http://mail.google.com/mail/ca/u/0/#inbox oder http://google.com) is ja erstmal egal, solange die Seite ansich auf HTTPS läuft

 

[Spezi]

Bei deep links reicht ein normaler redirect unter Umständen nicht aus, da Daten die nicht der Url übertragen werden verloren gehen (zusätzliche Header bzw. Post Daten).

In so einem Fall muss deine Applikation damit umgehen können bzw. der aufrufer muss direkt die https Adresse aufrufen. Oder du kannst es mit einem redirect mit dem Statuscode 307 versuchen. Gerade bei stackoverflow gefunden.

Ansonsten gibt es meines Wissens nach keine typische Konfigurationsmöglichkeit in Webservern.

 

[cumulonimbus8]

Ein Zertifikat reicht nicht aus.
Warum? Einfaches Szenario: die Site ist älter, das Zertifikat kommt hinzu und in eineigen verstaubten Dateien steht noch so was wie http://www.dieseurl.de/Bild.jpg - und FireFox meldet ein gelbes Schlösschen.
Nur so erwähnt.

Verstehe nicht was du wissen willst, sorry

Schätze dich glücklich. Du hast es nicht mit… dummen… Leuten zu tun die auf diese grünen Schlösschen schwören und nicht davon abzubringen sind, denen aber Deep-Links gegeben sind die nicht mit https beginnen bzw. die das nie mit eintippen (»wo kämen wie auch da hin, arbeiten?«).

Vermutlich ist da, gemäß Spezi, keine Rückkopplung möglich die nicht mit www.hier.de eine www.hier.de/index.htm aufruft die ihrerseits weiterleitend https://www.hier.de/start.htm auslöst.

Sprüche wie «vertrauen Sie nur gesicherten Verbindungen» sind ja leider in vielen Ratgebern en vogue. Also muss man grüne Schlösschen hervorzaubern.

CN8

 

[Spezi]

Weiterleitungen von http aufrufen zu https (auch mehrere) sind durchaus auch mit zusätzlichen Headern und Post daten möglich, allerdings muss dies die Anwendung umsetzen.

Sind dann aber so workarounds, dass die zusätzlichen Daten in einer Session gespeichert werden oder vorübergehen auf dem Dateisystem oder in der Datenbank.

 

[mauorrizze]

Ich verstehe auch noch nicht an welcher Stelle du eingreifen willst/kannst. Wenn der Server brav wie teilweise oben aufgelistet konfiguriert ist (zumindest im Nginx-Beispiel kann ich das verstehen und bestätigen), wird auch ein Aufruf von http://www.dieseurl.de/Bild.jpg zu https://www.dieseurl.de/Bild.jpg umgeleitet und das grüne Schlösschen (falls Zertifikat gültig und vorhanden) erscheint. Die Einschränkung mit zusätzlichen Headern und Post Daten greift zwar, aber sind für deine genannten Beispiele mit gespeicherten Bookmarks/URLs egal, dort wird nur die URL gespeichert. Und bei richtiger Konfig bei Aufruf inklusive Pfad umgeleitet.

Wichtig ist aber, dass dies auf Webserver-Ebene passiert. Nutzt du einen Webhoster, bist du darauf angewiesen, dass er das richtig konfiguriert hat, oder dass du dies per .htaccess ausreichend einrichten kannst.

Hast du kein Zugriff auf den/die Server sondern willst bei einem einzelnen Nutzer eingreifen hilft eventuell sowas wie "HTTPS Everywhere" (bin nicht ganz sicher ob er explizite http-Links prüft, aber ganz allgemein schaut das Browser-Plugin, ob es eine website auch "in sicher" gibt).

 

[Mihawk90]

Warum? Einfaches Szenario: die Site ist älter, das Zertifikat kommt hinzu und in eineigen verstaubten Dateien steht noch so was wie http://www.dieseurl.de/Bild.jpg

Das wird mit der obigen Config doch auch auf https://www.dieseurl.de/Bild.jpg umgeleitet, wenn das Zertifikat dann gültig ist erscheint auch das grüne Schlösschen. Ich sehe gerade das Problem nicht

 

[stage]

Oder meint der TE sowas wie ein Browser Addon
https://addons.mozilla.org/de/firefox/addon/https-everywhere/

das automatisch alle http Verbindungen auf https (falls verfügbar) ändert?

 

[Mihawk90]

Das dachte ich auch erst, allerdings geht es ja so wie ich das verstehe darum dass jeder Besucher umgeleitet wird, das funktioniert natürlich nicht mit einem Browser Addon.

 

[stage]

Ja, kann alles mögliche bedeuten. Der TE hat sich irgendwie sehr unklar ausgedrückt, was er will.
Erst schreibt zum einen von Servern, die das von sich aus umbiegen sollen, so als wenn es um eigene Server geht, die er administriert.

Aber dann steht da irgendwas von google.de und er schreibt von allen Adressen. Ist hier vielleicht noch ein Proxy dazwischen. Fragen über Fragen

 

[cumulonimbus8]

(leicht frustriert ob der letzten Antwort)
Lies doch einfach mal was ich geschrieben habe. Google war da nur ein Beispiel um eines Namens Willen.

Natürlich müssen die Server… In dem Sinne: Websites die gehostet werden, 1&1, keine Server in voller Eigenregie, dazu Win-Server 2008, 2102 (Strato) virtuell. Die Server müssen die Arbeit machen dem User ein HTTPS in die Adresszeile zu wuchten.

Von jeder Schreibweise aus (xxxx.yyy, www.xxxx.yyy, http://xxxx.yyy, http://www.xxxx.yyy) soll der User bei https://www.xxxx.yyy landen!
Jener User der eben nicht brav https://www.xxxx.yyy eintippt sondern der einen Deep-Link bekommt. Der aber zu gerne grüne Schlösschen sehen würde…

Und die .htaccess (die in der Root schon passend frisiert wurde) ficht Deep-Links nicht die Bohne an.

Also kann ich das effektiv knicken?

CN8

PS @Mihawk90
Keine Weiterleitung greift wenn das HTTP in vorhandenen (alten) Files steht - und Browser »darauf abfahren« danach zu suchen.

 

[mauorrizze]

(leicht frustriert ob der letzten Antwort)

Sorry, aber Aussagen wie diese

... da das Problem auf dem ich abziele nicht Websites, Webpages und Server sind sondern der Mensch an der Tastatur.

und dass es um grüne Schlösschen und darum ginge, was der User will, haben es uns nicht gerade einfach gemacht zu verstehen was DU willst. Ich fasse daher nochmal kurz die relevanten Infos zusammen:

• es geht um eine Umleitung einer beliebig tiefen URL auf Websites unter deiner Verwaltung von http:// zu https://
• zum einen bei Webhosting / Webspace bei 1&1
• zum anderen auf virtuellen Windows Servern bei Strato (nehme ich an, finde zumindest keine expliziten Windows Webhosting Angebote)

Wie schon andere geschrieben haben passiert das am einfachsten auf Webserver-Ebene. Bei 1&1 hast du zwar keinen Zugriff auf diesen, aber die scheinen Apache einzusetzen und .htaccess files zu erlauben, siehe Hilfe:
https://hilfe-center.1und1.de/hosti...-ssl-gesicherte-seite-umleiten-a10796154.html
Bezüglich den Windows Servern mit vermutlich IIS, da kenne ich mich nicht aus, aber siehe den Post von

Mit IIS (da du ja auch Windows angesprochen hast) kannst du das mit dem URL Rewrite relativ simpel lösen. Da trägt mal das quasi in die web.config mit ein. Gibt viele kurze Anleitungen bei Google 🙂

Diese Art der Umleitung ist meiner Meinung nach "best practice" und in vielen Anleitungen empfohlen, nur leider nicht bei allen Hostern Standard. Darüber kann man sich ruhig mal bei denen beschweren. Dass unbrave User ihre grünen Schlösschen haben wollen empfinde ich daher als sehr sinnvoll