Einn glöggur lesandi kom með góða ábendingu við eina HTTPS færslu hér á Lappari.com. Hann bendir réttilega á að sumir af þeim vefum sem við höfum nafngreint séu með HTTPS virkt þó svo að notendur séu ekki fluttir sjálfkrafa yfir á HTTPS. Hann fer svo langt að segja að það sé trassaskapur í okkur að segja ekki frá því. Það má vel vera þó að ég sé ekki sammála því.
Mín skoðun er sú að ef boðið er uppá HTTPS, án þess að færa alla notendur sjálfkrafa yfir á það, þá sé HTTPS í raun og veru gagnslaust ef það er til staðar með HTTP. Við sem kerfis- og/eða vefstjórar getum ekki fært ábyrgð á öryggismálum vefsíðunnar yfir á notendur með því að ætlast til þess að þeir bæti S aftan við http þegar vefurinn okkar er heimsóttur.
Það er okkar að sinna öryggismálum á okkar vefsíðum, án undantekninga og það þarf að gerast án þess að notendur þurfi að gera nokkuð sín megin. Sem dæmi, langflestir lesendur okkar slá inn lappari.com eða www.lappari.com þegar þeir heimsækja okkur og það er okkar ábyrgð að flytja þá yfir á HTTPS.
Þess vegna ákvað ég að taka þessa færslu saman, sýna hvernig þetta er gert á IIS 8 vefþjóni en þetta er svipað lítið mál á öðrum vefþjónum.
Ég vildi ná tveimur niðurstöðum
- Vefþjónninn átti alltaf að bæta www framan við lénið okkar. Ef notandi slær inn lappari.com, þá á vefþjónninn að beina notandanum yfir á www.lappari.com. Þetta er til dæmis gert til að einfalda tölfræðigreiningu í Google Analytics.
- Allir gestir eiga að enda á HTTPS, sama hvað þeir slá inn í vafrann.
Þeir geta sem sagt slegið inn eftirfarandi slóðir en eiga alltaf að enda á https://www.lappari.com
- lappari.com
- www.lappari.com
- http://lappari.com
- http://www.lappari.com
- https://lappari.com
Til að ná þessari niðurstöðu á Windows þjóni, þá er einfaldast að bæta við appi í IIS sem heitir URL Rewrite og setja inn þessar reglur.
Bæta www við vefslóð
Þessi regla tekur alla umferð án www sem kemur inn yfir HTTP eða HTTPS og endurskrifa hana sem https://www.lappari.com
Hér má sjá skjáskot af reglunni
Færa af HTTP, yfir á HTTPS
Þessi regla tekur alla aðra HTTP umferð og flytur notendur yfir á HTTPS. Sem sagt tekur HTTP_HOST sem sleginn er inn, bætir HTTPS framan við.
Hér má sjá skjáskot af reglunni
Eins og sjá má þá er ekki erfitt að stjórna því á vefþjóninum hvar gestir okkar enda. Við getum sem sagt ákvarðað og endurskrifað slóðina sem lesendur slá í vafrann sinn, til að ná fram niðurstöðunni sem við viljum. Hún er að gæta öryggi lesenda okkar og beina þeim því yfir á https://www.lappari.com
