hallo > Ich habe aber gearde etwas gefunden, und das scheint auf den ersten Anblick zu funktionieren: > > ~~~ > # Aufruf ohne www ergänzen um www > > RewriteEngine On > RewriteCond %{HTTP_HOST} !^www\..* [NC] > RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L] > > **# http => https** > RewriteEngine On > RewriteCond %{HTTPS} !=on > RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]* > ~~~ > Ist dies eine praktikable Möglichkeit? Warum zweimal 301 (permanente Umleitung)? Ich würde die Reihenfolgen der Regeln ändern. Das [L] in der ersten Regel bricht ja die spätere Prüfung nach https ab. Oder wenn schon die erste Regel sofort nach https umleiten, also: > ~~~ > RewriteEngine On > RewriteCond %{HTTP_HOST} !^www\..* [NC] > RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L] > ~~~ Ach und da du auch gerade umstellst: Du solltest alle in HTML/PHP verwendeten URIs, die deine Domain explizit erwähnen, ebenfalls auf https umstellen. Auch https kann angegriffen werden, vorzüglich in der Aufbauphase, wenn ein Client noch einen http Request versucht. -- Neu im Forum! Signaturen kann man ausblenden!

hallo > Ich habe aber gearde etwas gefunden, und das scheint auf den ersten Anblick zu funktionieren: > > ~~~ > *# Aufruf ohne www ergänzen um www > > RewriteEngine On > RewriteCond %{HTTP_HOST} !^www\..* [NC] > RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L] > **# http => https** > RewriteEngine On > RewriteCond %{HTTPS} !=on > RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]* > ~~~ > Ist dies eine praktikable Möglichkeit? Warum zweimal 301 (permanente Umleitung)? Ich würde die Reihenfolgen der Regeln ändern. Das [L] in der ersten Regel bricht ja die spätere Prüfung nach https ab. Oder wenn schon die erste Regel sofort nach https umleiten, also: > RewriteEngine On > RewriteCond %{HTTP_HOST} !^www\..* [NC] > RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L] Ach und da du auch gerade umstellst: Du solltest alle in HTML/PHP verwendeten URIs, die deine Domain explizit erwähnen, ebenfalls auf https umstellen. Auch https kann angegriffen werden, vorzüglich in der Aufbauphase, wenn ein Client noch einen http Request versucht. -- Neu im Forum! Signaturen kann man ausblenden!