SSL-Umstellung ... Probleme über Probleme

[3rdlife]

Hallo,

unser Provider hat nun ein SSL-Zertifikat installiert, und ich wäre nach der Anleitung für die Umstellung vorgegangen. Die beiden configure.php, die application_top sowie die htaccess geändert.

Es ist noch die Version 1.06.

Jetzt hab ich das Problem, dass kein Login mehr möglich ist (Admin & Kunde) -
mit der Meldung "Die eingegebene E-Mail-Adresse ist nicht registriert. Bitte versuche es noch einmal."
Mit dem Popup, dass die eingegebenen Daten nicht gesichert übertragen werden können.

Wenn ich bei der includes/configure.php die Zeile define('HTTP_SERVER' ... auf https ändere,
werden die Vorlage, die styles usw. nicht mehr geladen.

Sind das einfach zu lösende Probleme?
Wenn nein, dann hätt ich gern auch Hilfe gegen Rechnung, wenn jemand Zeit hat.
PHP kann ich halbwegs lesen, bei SSL und leider auch bei htaccess scheiterts leider ...

Schönen Sonntag noch!

Linkback: https://www.modified-shop.org/forum/index.php?topic=39197.0

[Timm]

Poste die relevanten Stellen hier, damit dir jemand helfen kann. Ohne Shoplink kann man sonst nur raten.

Beim Hoster musst du Zwangs ssl ausschalten.

Im Wiki gibts auch eine Anleitung.

ssl

Gruß timm

[fishnet]

Und beim Posten bitte darauf achten keine Passwörter mitzuposten.

Und bitte den Hoster nennen.

[nature-shock]

Ich weiß jetzt nicht ob es dir hilft. Aber ich habe heute auch den Shop umgestellt und bei mir lag es vermutlich an dieser Zeile in der includes/configure.php

Code: PHP  [Auswählen]

define('ENABLE_SSL', true); // secure webserver for checkout procedure?

Da ich selbst necht so fit darin bin, kann ich mir eigentlich nur vorstellen, dass es nicht funktionierte da der Eintrag auf "false" stand.
Momentan behaupte ich mal vorsichtig, das es funktioniert. Zumindest hatte ich die gleichen Symptome und die sind jetzt weg.

Grüße
Marc

[Timm]

Sorry aber das ist totaler Quatsch. In Versionen kleiner 2.x muss das sogar auf false stehen. Das hat auch nichts damit zu tun, dass der Shop mit ssl normal funktioniert. Das wird nur zusätzlich gebraucht, wenn bestimmte Module damit arbeiten. Paypal Webhooks in v2.x zb.

Gruß Timm

[3rdlife]

Hallo,

danke euch erst einmal!

@FräuleinGarn: diese Anleitung hatte ich gefunden, ist super - sollte schaffbar sein (dachte ich).

Ihr schreibt (und auch in der Anleitung steht es so):
Zwangs-SSL muss beim Hoster ausgeschaltet sein. Ist das eine Apache-Konfiguration?
Sieht man das irgendwo (php.ini, htaccess ...)?

Könntet ihr mir das bitte sagen? Weil das könnte ich von unterwegs noch abklären.
Ansonsten geb ich mir noch einen Versuch aus der Sicherung. Liest sich ja eigentlich schaffbar.

Oder poste euch die Codeschnipsel und den Link.

@nature-shock: Danke, auf das mit dem Enable true bin ich gestern irgendwo in einem längeren Forenbeitrag gestoßen. In einer der Antworten drunter wurde dann davon abgeraten, habs also auch nicht probiert. Dort hat allerdings der User, der damit auch Erfolg hatte, hinterher einen anderen Fehler entdeckt. Und hat das Problem dann damit behoben.

Viele Grüße
3rdlife

[Timm]

SSL erzwingen ist eine Funktion im Backend deines Hosters. Da steht dann sowas wie SSL erzwingen oder dauerhafte 301 weiterleitungen einrichten. Kannst du da selbst einstellen.

Bei manchen Hostern, wo das nicht über das Backend einstellbar ist, wird empfohlen diese dauerhafte 301 weiterleitung in die .htaccess zu schreiben. Das darf man natürlich beim Shopsystem nicht machen.

Deshalb poste deine Dateien und irgendwer wird dir dann schon schnell helfen können.

Gruß Timm

[p3e]

Ich würde es eher umgekehrt ausdrücken: Es gibt Hoster, die haben im Backend die Funktion "SSL erzwingen" (oder so ähnlich). Es hat sich gezeigt, dass bei Aktivierung diese Einstellung mit dem Shop zu Problemen führt.
Bei den meisten Hostern gibt es diese Funktion nicht im Backend. Da es aber wegen dieser Einstellung immer wieder Probleme gab, wird da so deutlich drauf verwiesen.

[hpzeller]

Ausser einer zwangsweisen Umleitung von http zu https per dauerhafter 301 Weiterleitung gibt noch etwas anderes was manche Hoster beim senden einer Seite machen wenn die Domain ein SSL-Zertifikat besitzt, sie fügen nämlich dem HTTP-Header automatisch HSTS (HTTP Strict Transport Security) hinzu, und das hat dann zur Folge, dass Browser die diesen HTTP-Header erhalten die Domain bei jeder Anfrage mit https aufrufen, egal ob im Link http oder https steht.

Mehr Infos hier:
https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Strict-Transport-Security?utm_source=mozilla&utm_medium=devtools-netmonitor&utm_campaign=default

Gruss
Hanspeter

[3rdlife]

Danke für die Erklärungen! Besonders der Mozilla-Link war aufschlussreich.
Im Kundenbereich habe ich zumindest nichts darüber gefunden, die Möglichkeiten dort was selbst umzustellen sind auch gering.

Domain lautet: www.skyline-fashionstore.de
Hoster ist ronet.de
Zertifikat ist ein Let's Encrypt.

Das sind meine angepassten Inhalte ...

includes/configure.php

Code: PHP  [Auswählen]

<?php
/* --------------------------------------------------------------

  modified eCommerce Shopsoftware
  http://www.modified.org-shop

   Copyright (c) 2009 - 2012 modified eCommerce Shopsoftware
   Released under the GNU General Public License (Version 2)
   [http://www.gnu.org/licenses/gpl-2.0.html]
  --------------------------------------------------------------
  based on:
  (c) 2000-2001 The Exchange Project  (earlier name of osCommerce)
  (c) 2002-2003 osCommerce (configure.php,v 1.13 2003/02/10); www.oscommerce.com
  (c) 2003 XT-Commerce (configure.php)

  Released under the GNU General Public License
  --------------------------------------------------------------*/

// Define the webserver and path parameters
// * DIR_FS_* = Filesystem directories (local/physical)
// * DIR_WS_* = Webserver directories (virtual/URL)
  define('HTTP_SERVER', 'https://www.skyline-fashionstore.de');
  define('HTTPS_SERVER', 'https://www.skyline-fashionstore.de');
  define('ENABLE_SSL', false);
  define('USE_SSL_PROXY', false); // using SSL proxy?
  define('DIR_WS_CATALOG', '/'); // absolute path required
  define('DIR_FS_DOCUMENT_ROOT', '...shoproot...');
  define('DIR_FS_CATALOG', '...shoproot...');
  define('DIR_WS_IMAGES', 'images/');
  define('DIR_WS_ORIGINAL_IMAGES', DIR_WS_IMAGES .'product_images/original_images/');
  define('DIR_WS_THUMBNAIL_IMAGES', DIR_WS_IMAGES .'product_images/thumbnail_images/');
  define('DIR_WS_INFO_IMAGES', DIR_WS_IMAGES .'product_images/info_images/');
  define('DIR_WS_POPUP_IMAGES', DIR_WS_IMAGES .'product_images/popup_images/');
  define('DIR_WS_ICONS', DIR_WS_IMAGES . 'icons/');
  define('DIR_WS_INCLUDES',DIR_FS_DOCUMENT_ROOT. 'includes/');
  define('DIR_WS_FUNCTIONS', DIR_WS_INCLUDES . 'functions/');
  define('DIR_WS_CLASSES', DIR_WS_INCLUDES . 'classes/');
  define('DIR_WS_MODULES', DIR_WS_INCLUDES . 'modules/');
  define('DIR_WS_LANGUAGES', DIR_FS_CATALOG . 'lang/');

  define('DIR_WS_DOWNLOAD_PUBLIC', DIR_WS_CATALOG . 'pub/');
  define('DIR_FS_DOWNLOAD', DIR_FS_CATALOG . 'download/');
  define('DIR_FS_DOWNLOAD_PUBLIC', DIR_FS_CATALOG . 'pub/');
  define('DIR_FS_INC', DIR_FS_CATALOG . 'inc/');

// define our database connection
  define('DB_SERVER', '...dbserver ...'); // eg, localhost - should not be empty for productive servers
  define('DB_SERVER_USERNAME', '...username...');
  define('DB_SERVER_PASSWORD', '...pw...');
  define('DB_DATABASE', '...db...');
  define('USE_PCONNECT', 'false'); // use persistent connections?
  define('STORE_SESSIONS', 'mysql'); // leave empty '' for default handler or set to 'mysql'
?>
 

Die betreffenden Zeilen aus der
admin/includes/configure.php

Code: PHP  [Auswählen]

<?php
define('HTTP_SERVER', 'https://www.skyline-fashionstore.de');
define('HTTP_CATALOG_SERVER', 'https://www.skyline-fashionstore.de');
define('HTTPS_CATALOG_SERVER', 'https://www.skyline-fashionstore.de');
define('ENABLE_SSL_CATALOG', 'false');
?>

und die htaccess als Anhang.

Danke im Voraus für eure Hilfe!

[Timm]

Und was ist mit der Änderung in includes/application_top.php?

Bist du sicher, dass du die Änderungen in den configure-Dateien auch gespeichert hast? Schreibschutz der Datei vorher aufheben. Wenn ich auf einen Link auf der Seite gehe, dann will er mich zu www.deinedomain.specials.php statt https://www.deinedomain.de/specials.php leiten.

Und in neueren .htaccess sieht die Weiterleitung so aus.

Code: XML  [Auswählen]

##-- redirect to https www-domain, when www is missing and no subdomain given and not using an ssl-proxy
  RewriteCond %{HTTP_HOST} !^www\. [NC]
  RewriteCond %{HTTP_HOST} !\.(.*)\. [NC]
  RewriteCond %{HTTP_HOST} !^localhost [NC]
  RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  RewriteCond %{SERVER_PORT} !^443$
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Gruß Timm

[Timm]

Wie ich grad sehe, scheint die Anleitung im WIKI nicht ganz zu stimmen, was die .htaccess betrifft. Da sind ein paar Zeilen zuviel bei den Weiterleitungen.

In web28 seiner Anleitung stand

.htaccess
Hier kann man eine Zwangsweiterleitung von http nach https einrichten,
Diesen Codeblock nach "RewriteEngine On" einfügen, oder wenn bereits vorhanden diesen aktivieren (# Zeichen am Anfang entfernen), so dass der Codeblock wie folgt aussieht:

##-- redirect to https www-domain, when www is missing and no subdomain given and not using an ssl-proxy
  RewriteCond %{HTTP_HOST}                 !^www\. [NC]
  RewriteCond %{HTTP_HOST}                 !\.(.*)\. [NC]
  RewriteCond %{HTTP_HOST}                 !^localhost [NC]
  RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  RewriteCond %{SERVER_PORT} !^443$
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Tipp: Am besten die htaccess aus dem aktuellen Modified-Shop Downloadpaket nehmen und die Zeilen aktivieren!

Achtung!

Einige Webserver haben Probleme mit dieser Zeile

  RewriteCond %{SERVER_PORT} !^443$

Typische Fehlermeldung im Firefox: "Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann."

In diesem Fall die Problemzeile gegen eine der folgenden Zeilen austauschen und testen welche Zeile der Webserver unterstützt.

  RewriteCond %{HTTPS} off
  RewriteCond %{HTTP:X-Forwarded-Proto} !https
  RewriteCond %{HTTPS} !=on

[3rdlife]

@Timm:  Asche-über-mein-Haupt - scheinbar wars das mit den Schreibrechten!
Login, Kundenkonto funktioniert mal wieder, werde weitertesten.

@FräuleinGarn: Danke, dann ändere ich die .htaccess noch dementsprechend!

[p3e]

Wie ich grad sehe, scheint die Anleitung im WIKI nicht ganz zu stimmen, was die .htaccess betrifft. Da sind ein paar Zeilen zuviel bei den Weiterleitungen.

Welche Zeiten sind denn da zuviel im Wiki?

[Timm]

@p3e
wie es in 1.06 ist, weiß ich nicht, aber in der Anleitung von web28 und auch in neueren Verisonen steht

Code: XML  [Auswählen]

##-- redirect to https www-domain, when www is missing and no subdomain given and not using an ssl-proxy
  RewriteCond %{HTTP_HOST}                 !^www\. [NC]
  RewriteCond %{HTTP_HOST}                 !\.(.*)\. [NC]
  RewriteCond %{HTTP_HOST}                 !^localhost [NC]
  RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  RewriteCond %{SERVER_PORT} !^443$
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

und das man bei Problemen die Zeile

Code: XML  [Auswählen]

RewriteCond %{SERVER_PORT} !^443$

gegen einer der folgenden tauschen soll

Code: XML  [Auswählen]

 RewriteCond %{HTTPS} off
  RewriteCond %{HTTP:X-Forwarded-Proto} !https
  RewriteCond %{HTTPS} !=on

Im Wiki (siehe hier drunter) stehen allerdings 2 dieser möglichen Zeilen zum austauschen der 443 Zeile schon nicht auskommentiert drin, die da nur ersatzweise hingehören. Ich fände es besser das so zu schreiben wie ich weiter oben aus Ronalds Anleitung zitiert habe.

Code: XML  [Auswählen]

##-- redirect to https www-domain, when www is missing and no subdomain given and not using an ssl-proxy
  RewriteCond %{HTTP_HOST}                 !^www\. [NC]
  RewriteCond %{HTTP_HOST}                 !\.(.*)\. [NC]
  RewriteCond %{HTTP_HOST}                 !^localhost [NC]
  RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  RewriteCond %{HTTPS} off
  RewriteCond %{SERVER_PORT} !^443$
  RewriteCond %{HTTP:X-Forwarded-Proto} !https
  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Gruß Timm