Redirigir http a https

Redirigir http a https nginx

En los escritorios de mis clientes tengo algunos accesos directos que apuntan a http://production_server y https://production_server (ambos funcionan). Sin embargo, sé que si mi servidor de producción se cae, entonces el reenvío de DNS entra en acción y los clientes que tienen “https” en su acceso directo estarán viendo https://mirror_server (que no funciona) y una gran pantalla roja de Internet Explorer 7 de malestar para mi empresa.
Por desgracia, no puedo cambiar esto a nivel de cliente. Estos usuarios son muy analfabetos informáticos: y es muy probable que se asusten al ver los errores de “inseguridad” de HTTPS (especialmente la forma en que Firefox 3 e Internet Explorer 7 lo manejan hoy en día: FULL STOP, más o menos afortunadamente, pero no me ayuda aquí LOL).
Tenga en cuenta que el motor de reescritura sólo entra en acción una vez que se ha recibido la solicitud HTTP, lo que significa que todavía necesita un certificado para que el cliente establezca la conexión para enviar la solicitud.
Sin embargo, si la máquina de copia de seguridad parece tener el mismo nombre de host (en lo que respecta al cliente), entonces no debería haber ninguna razón por la que no se pueda utilizar el mismo certificado que la máquina principal de producción.

Redirigir http a https cpanel

Como decía en esta pregunta, te sugiero que evites redirigir todas las peticiones HTTP a su equivalente HTTPS a ciegas, ya que puede causarte una falsa impresión de seguridad. En su lugar, probablemente deberías redirigir la “raíz” de tu sitio HTTP a la raíz de tu sitio HTTPS y enlazar desde ahí, sólo a HTTPS.
Por ejemplo, si una de sus páginas servidas sobre HTTPS tiene un formulario que dice <form action=”http://example.com/doSomething”> y envía algunos datos que no deberían ser enviados en claro, el navegador enviará primero la solicitud completa (incluyendo la entidad, si es un POST) al sitio HTTP primero. La redirección se enviará inmediatamente al navegador y, dado que un gran número de usuarios deshabilita o ignora las advertencias, es probable que sea ignorada.
Por supuesto, el error de proporcionar los enlaces que deberían ser para el sitio HTTPS pero que terminan siendo para el sitio HTTP puede causar problemas en cuanto tengas algo escuchando en el puerto HTTP en la misma dirección IP que tu sitio HTTPS. Sin embargo, creo que mantener los dos sitios como un “espejo” sólo aumenta las posibilidades de cometer errores, ya que puede tender a hacer la suposición de que se auto-corregirá redirigiendo al usuario a HTTPS, mientras que a menudo es demasiado tarde. (Hubo discusiones similares en esta pregunta).

Redirigir http a https cloudflare

Estoy leyendo por encima esta página y dice que si un sitio es SSL y el usuario intenta acceder por http normal, la aplicación no debería redirigir al usuario a https. Simplemente debería bloquearlo. ¿Puede alguien verificar la validez de esto? No parece una buena idea, y me pregunto cuál es el riesgo real de simplemente redirigir al usuario a https. Parece que no hay razones técnicas detrás de esto, sólo que es una buena manera de educar al usuario.
Tampoco veo ninguna razón técnica por la que haya que bloquear completamente el HTTP, y muchos sitios sí reenvían HTTP a HTTPS. Al hacer esto es muy recomendable implementar HTTP Strict Transport Security (HSTS), que es un mecanismo de seguridad web que declara que los navegadores sólo deben utilizar conexiones HTTPS.
HSTS se implementa especificando una cabecera de respuesta como Strict-Transport-Security: max-age=31536000. Los agentes de usuario que cumplan con esta norma convertirán automáticamente los enlaces inseguros en enlaces seguros, reduciendo así el riesgo de ataques de tipo man-in-the-middle. Además, si existe el riesgo de que el certificado no sea seguro, por ejemplo, si no se reconoce la autoridad raíz, se mostrará un mensaje de error y no se mostrará la respuesta.

Redirigir http a https iis

Estoy leyendo por encima esta página y dice que si un sitio es SSL y el usuario intenta acceder por http normal, la aplicación no debería redirigir al usuario a https. Simplemente debería bloquearlo. ¿Puede alguien verificar la validez de esto? No parece una buena idea, y me pregunto cuál es el riesgo real de simplemente redirigir al usuario a https. Parece que no hay razones técnicas detrás de esto, sólo que es una buena manera de educar al usuario.
Tampoco veo ninguna razón técnica por la que haya que bloquear completamente el HTTP, y muchos sitios sí reenvían HTTP a HTTPS. Al hacer esto es muy recomendable implementar HTTP Strict Transport Security (HSTS), que es un mecanismo de seguridad web que declara que los navegadores sólo deben utilizar conexiones HTTPS.
HSTS se implementa especificando una cabecera de respuesta como Strict-Transport-Security: max-age=31536000. Los agentes de usuario que cumplan con esta norma convertirán automáticamente los enlaces inseguros en enlaces seguros, reduciendo así el riesgo de ataques de tipo man-in-the-middle. Además, si existe el riesgo de que el certificado no sea seguro, por ejemplo, si no se reconoce la autoridad raíz, se mostrará un mensaje de error y no se mostrará la respuesta.

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad