Шифрование отдельных страниц сайта

[Dmitriy_K]

Может кто-то сможет просветить по этому вопросу. Помнится, что вроде есть какой-то вариант, но забыл.
Сделать нужно через SSL и apache.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ProFTP]

включить можно чтобы оно пошло через ssl...
на perl видел...

[Dmitriy_K]

Скрипт должен шифровать страницы вместо модуля апача? Не думаю, что потяну такой гемор.
Есть, конечно, вариант сделать дополнительный поддомен для части страниц, но, может, ещё чего придумали?

[reLax]

Шифрование исходного кода ? Или канала ?
Если первое (PHP) - Zend Guard в зубы. Могу поделиться "бесплатной" версией, если тебе лень по трекерам шастать. Могу еще Zend Studio 7.1 BETA дать. Тоже "бесплатную" ))

[Dmitriy_K]

Шифрование исходного кода ? Или канала ?

Канала.
Возможно, всё-таки ошибаюсь насчёт возможности такого финта. Ладно, поддомен допустим. Осталось экспериментально-тыковым методом разобраться как разрулить через порты два сайта с SSL на одном серваке.

[reLax]

А что здесь разруливать то ? Сколько угодно разруливай доменов ))

Код: Выделить всё

NameVirtualHost 192.168.0.210:443

<VirtualHost 192.168.0.210:443>
    ServerAdmin root@domain1.ru
    ProxyPass /cacti/ http://192.168.0.230/cacti/
    ProxyPassReverse /cacti/ http://192.168.0.230/cacti/
    ProxyPass /netams/ http://192.168.0.230/netams/
    ProxyPassReverse /netams/ http://192.168.0.230/netams/
    ProxyPass /monitor/ http://192.168.0.230/monitor/
    ProxyPassReverse /monitor/ http://192.168.0.230/monitor/
    ProxyPass /fsa/ http://192.168.0.230/free-sa/
    ProxyPassReverse /fsa/ http://192.168.0.230/free-sa/
    ProxyPass /pfstat/ http://192.168.0.230/pfstat/
    ProxyPassReverse /pfstat/ http://192.168.0.230/pfstat/
    ServerName domain1.ru
    ServerAlias *.domain1.ru
    SSLEngine on
    SSLProtocol all -SSLv2
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLVerifyClient require
    SSLVerifyDepth  1
    SSLCertificateFile /usr/local/etc/apache/ssl/server.crt
    SSLCertificateKeyFile /usr/local/etc/apache/ssl/server.key
    SSLCACertificateFile /usr/local/etc/apache/ssl/CAcert.pem
    SSLOptions +StdEnvVars
</VirtualHost>

<VirtualHost 192.168.0.210:443>
     ServerAdmin root@domain.ru
     ServerName domain2.ru
     ServerAlias www.domain2.ru
     rewriteengine on
     RewriteCond   %{HTTP_HOST}  ^(www.)?(.*)$
     RewriteCond   /usr/local/www/data/private/%2 -d
     RewriteRule   (.*) /usr/local/www/data/private/%2/$1 [L,QSA]
     DocumentRoot /usr/local/www/data/private
     SSLEngine on
     SSLProtocol all -SSLv2
     SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
     SSLVerifyClient require
     SSLVerifyDepth  1
     SSLCertificateFile /usr/local/etc/apache/ssl/server.crt
     SSLCertificateKeyFile /usr/local/etc/apache/ssl/server.key
     SSLCACertificateFile /usr/local/etc/apache/ssl/CAcert.pem
     SSLOptions +StdEnvVars
</Virtualhost>

[ProFTP]

Скрипт должен шифровать страницы вместо модуля апача? Не думаю, что потяну такой гемор.
Есть, конечно, вариант сделать дополнительный поддомен для части страниц, но, может, ещё чего придумали?

ну есть сайт на страницы котрого можно зайти без ssl

на некоторых страницах в переменном укружении можно посмотреть чтобы пользователь на их заходил только через ssl

то что вы спрашвиаете делается так, может я не понял

[Dmitriy_K]

А что здесь разруливать то? Сколько угодно разруливай доменов.

Код: Выделить всё

NameVirtualHost 192.168.0.210:443

<VirtualHost 192.168.0.210:443>
    ServerAdmin root@domain1.ru
    ProxyPass /cacti/ http://192.168.0.230/cacti/
    ProxyPassReverse /cacti/ http://192.168.0.230/cacti/
----------------------------------------
    ServerName domain1.ru
    ServerAlias *.domain1.ru
----------------------------------------
</VirtualHost>

<VirtualHost 192.168.0.210:443>
     ServerAdmin root@domain.ru
     ServerName domain2.ru
     ServerAlias www.domain2.ru
----------------------------------------

Тут висят два сайта на одном IP и 443 порту.
В руководствах SSL apache говорится о невозможности подобного (нужно либо разные IP, либо разные порты). Проблема в том, что будет подхватываться только первый из сертификатов. Правда, в него можно забить несколько доменов, но это нестандартное решение. Не знаю как к этому относятся сертификационные центры и сколько стоит.
http://wiki.cacert.org/VhostTaskForce
http://wiki.cacert.org/CSRGenerator?act ... ostsApache

Кстати, при современных достижениях железячно-софтового прогресса и методов хакерской дешифровки разумным выглядит сокращение перечня разрешённых шифров.

Код: Выделить всё

SSLCipherSuite HIGH:!ADH

и ещё

Код: Выделить всё

SSLSessionCacheTimeout  1200

В соответствии с принятым лимитом в PHP-скриптах. Для того, чтобы не перехватывались клиентские сессии.
У меня на серваке это никаких проблем не вызывает. Посетителей, правда, немного.

на некоторых страницах в переменном укружении можно посмотреть чтобы пользователь на их заходил только через ssl

Выглядит интересно, но как-то нереально.
Насчёт переменных немного знаю, у нас их программеры воткнули в скрипты для подстраховки, хотя у меня:

Код: Выделить всё

<Directory "/">
  SSLOptions +StrictRequire
  SSLRequireSSL

Если для сайта не подключен SSL, то как он объявится для отдельных страниц?
Ну, допустим, что официально мы делаем для сайта http, а неофициально делаем дополнительную версию с https, куда, как я понял, будут перепрыгивать страницы с переменными типа "RequireSSL".
Но, если посетитель не будет выбит обратно с https на http при переходе на незащищённые страницы, будет нехорошо. Поисковики доберутся по ссылкам и проиндексируют оба варианта. Пиарщикам и SEO это не понравится.
Можно такими переменными в PHP-скриптах обязать переход с https на http?

[Dmitriy_K]

Кажется нашёл вариант решения по теме.
HTTPS to HTTP Redirection: http://www.askapache.com/htaccess/http- ... irect.html
Вот только насчёт используемых переменных (ps, askapache) не разобрался. Они предусмотрены в PHP или нет?

[Dmitriy_K]

Решили всё-таки не париться и сделать субдомен с SSL. Чтобы не добавлять новый IP сделали развязку по порту типа: https://name.ru:4430
Всё путём.