Umstellung auf https

Seit diesem Wochenende ist der Zugriff auf diesen Blog komplett verschlüsselt. Nicht das es hier etwas mega geheimnisvolles zu lesen gäbe aber je mehr verschlüsseltes Heu in das Netz geworfen wird, desto mehr haben die Lauscher zu tun. Und außerdem dient es der Privatsphäre meiner Leser.

Die Umstellung wäre eigentlich schon länger möglich gewesen. Bei Startssl gibt es für Privatanwender ein kostenloses Zertifikat.

Die Umstellung war auch recht einfach. An der einen oder anderen Stelle musste im Template von Movabletype eine fest verdrahte URL gefixt werden und danach brauchte es nur noch eine dauerhafte Umleitung von http auf https in der htaccess des Apache Webservers.

Damit war es leider nicht getan, denn diese Schritte stellen nur sicher, dass alle neuen Texte und Bilder korrekt verwendet werden. In den Texten sind aber viele Bilder mit http direkt verlinkt.

Hier hat mir modsecurity geholfen. Eigentlich ein Werkzeug um Angriffe auf den Webserver zu verhindern. Es hat allerdings die Fähigkeit den HTML Stream zu analysieren und den Text zu verändern. Mit einer einfachen Regel werden also alle Vorkommnisse der http://www.hag.. gegen https://www.hag…. ausgetauscht

SecRule RESPONSE_CONTENT_TYPE "@contains text/html" "chain,id:'999012',phase:4,t:none,nolog,pass"
SecRule SERVER_NAME "www.hagen-bauer.de"  "chain,t:none"
SecRule STREAM_OUTPUT_BODY "@rsub s/http:\/\/www.hagen-bauer.de/https:\/\/www.hagen-bauer.de/"

Damit dürfte es eigentlich kein http mehr geben.