ubuntuusers.de

Hallo,

ich kämpfe immer noch mit meinem Apache2.4 Server und der richtigen Konfiguration.

Ich habe einen vhost für meine domain.de:443 eingerichtert. Ebenso einen default host für die ungesicherte *:80

Wenn ich mit einem Browser per http://domain.de aufrufe stellt er mir korrekterweise beim 1. Start den inhalt des default host dar. Rufe ich nun https://domain.de auf, kommt auch der korrekte Inhalt von domain.de:443.

Versuche ich nun wieder einen Aufruf von http://domain.de lande ich immer auf https://domain.de.

Ich bin mir nicht mehr sicher, ob das ein Problem des Server ist, oder eine art Caching, etc. des Browsers. Ich habe Browserbezogen hierzu nichts gefunden. Getestet mit IE und FireFox.

Der Zugriff via telnet auf domain.de 80 klappt und ich sehe keine Umleitung?!

Hat jemand einen Ansatz für mich?

EDIT: Ich will zwar hinterher gezielt alles auf SSL umleiten, ich brauche diese Umgebung nur zum Testen, ob meine Domains richtig aufgelöst und zugeordnet werden und will natürlich verstehen warum das passiert.

Gruß FX

Klingt für mich fast so als hättest du in deiner Konfiguration HSTS aktiviert. Damit teilt der Server dem Browser ja mit, dass diese Domain immer über TLS aufgerufen werden soll. Kann das sein? Dann wäre das Verhalten deines Browsers tatsächlich so gewollt. Zeig mal deine Serverkonfiguration.

~jug

jug schrieb:

Klingt für mich fast so als hättest du in deiner Konfiguration HSTS aktiviert.

Ich habe keine Einträge für Header-strict..etc.

Ich habe das genauer untersucht und festgestellt, das es (bei mir) unter Chrome funktioniert. (IE & Firefox nicht). Bei 2 bekannten geht es auch mit Firefox.

Ich habe unter der Konsole von Firefox gesehen, das er auch bei Eingabe von http anscheinend die https Seite aufruft.

Eingabe:

http://domain.de

Resultat:

GET 
https://domain.de/

Im Vergleich zum Aufruf z.B. von http://Google.de wo er gezielt auf https redirected wird.

Ich habe jetzt gerade im Firefox Request Header gesehen:

Upgrade-Insecure-Requests: 1

Ich glaube das könnte das Problem sein...

http://stackoverflow.com/questions/31950470/what-is-the-upgrade-insecure-requests-http-header

EDIT: Scheinbar ist es doch nicht das Problem, da dieses Flag auch von den Systemen benutzt wird, bei denen es fuktioniert.

Gruß FX

Bei sowas muss man genau wissen was passiert. Daher würde ich, wenn ein Serverproblem vermutet wird, ausschließlich mit curl arbeiten, da "echte" Browser oft eigensinniges Verhalten zeigen. Was sagt also:

$ curl -i http://domain.de
$ curl -i https://domain.de

(wenn der Payload zu groß ist, kannst du auch nur die Header zeigen).

Hallo,

ich hab es bereits wie o.g. mit telnet probiert, es passiert das gleiche wie bei curl:

http:

HTTP/1.1 200 OK
Date: Wed, 31 Aug 2016 08:37:01 GMT
Server: Apache/2.4.16 (Ubuntu)
Last-Modified: Sun, 28 Aug 2016 14:51:59 GMT
ETag: "a-53b22e3c56080"
Accept-Ranges: bytes
Content-Length: 10
Content-Type: text/html

unhandled

"unhandled" ist das einzige was zu Testzwecken in der index.html steht, ist also korrekt.

https:

HTTP/1.1 200 OK
Date: Wed, 31 Aug 2016 08:39:03 GMT
Server: Apache/2.4.16 (Ubuntu)
Last-Modified: Wed, 24 Aug 2016 16:58:42 GMT
ETag: "1ea-53ad431954875"
Accept-Ranges: bytes
Content-Length: 490
Vary: Accept-Encoding
Content-Type: text/html

Eigentlich alles korrekt...

Gruß FX

FXMaveric schrieb:

jug schrieb:

Klingt für mich fast so als hättest du in deiner Konfiguration HSTS aktiviert.

Ich habe keine Einträge für Header-strict..etc.

Hattest du jemals HSTS oder Permanent Redirects aktiviert?

Beides wuerde zu dem Verhalten fuehren, da es vom Browser gecacht wird.

Hallo,

ja, bei der https-Version hatte ich das mal. Das wäre also möglich. Ich habe den Browsercache, Cookies, Offline-Daten, etc. breits gelöscht. Gibt es da noch eine Stelle, die ich übersehen habe?

Gruß FX

FXMaveric schrieb:

Ich habe den Browsercache, Cookies, Offline-Daten, etc. breits gelöscht. Gibt es da noch eine Stelle, die ich übersehen habe?

Meines Wissens kannst du nur wirklich alle Einstellungen inklusive HSTS löschen, indem Firefox die Webseite "vergisst". Das geht, indem du auf der History mit Rechtsklick auf einen Eintrag gehst und "gesamte Webseite vergessen" wählst.

Du kannst übrigens in der Datei ~/.mozilla/firefox/PROFILNAME_EINSETZEN.default/SiteSecurityServiceState.txt die Liste der HSTS Einträge einsehen.

senden9 schrieb:

Du kannst übrigens in der Datei ~/.mozilla/firefox/PROFILNAME_EINSETZEN.default/SiteSecurityServiceState.txt die Liste der HSTS Einträge einsehen.

Super! Ich hab die Datei gefunden und den Eintrag gelöscht, nun klappt es auch mit FireFox. Also doch kein Konfigurationsproblem im Apache... aber darauf muss man erst mal kommen....

Vielen Dank an Euch alle!

Gruß FX

Gut das das Problem gelöst ist. Man muss aber auch fairerweise sagen das das genau der Sinn von HSTS (HTTP Strict Transport Security) ist. ☺

Wenn du HSTS auch auf anderen Clients deaktivieren willst ohne das du zu jedem Client hin rennen musst:

   The HSTS header field below indicates that the UA must delete the
   entire HSTS Policy associated with the HSTS Host that sent the header
   field:

     Strict-Transport-Security: max-age=0

Zitat: Hodges, J., Jackson, C., and A. Barth, "HTTP Strict Transport Security (HSTS)", RFC 6797, DOI 10.17487/RFC6797, November 2012, https://tools.ietf.org/html/rfc6797.

Guter Tipp 😉 Das erspart Arbeit. Scheint auch wunderbar zu klappen.

Danke und Gruß FX