Contao und CloudFlare Flexible SSL

**NetMediaWork** · 29.12.2014, 08:36

Hallo,

sind grad dabei in Erwägung zu ziehen CloudFlare für die Kundenaccounts zu verwenden. Soweit es das DNS-Routing betrifft läuft es auch alles tadellos und einfach.

Was allerdings nicht klappen will ist die Nutzung von SSL ( Flexible SSL ) und Contao. Die SSL kommt an aber *base href=* will partout nicht auf https switchen und somit wird natürlich das Zertifikat nicht anerkannt, was sicherlich am Reverse-Proxy liegt.

Hat sich damit schon jemand beschäftigt und vielleicht eine Lösung gefunden, eventuell einen Proxyeintrag ?

**NetMediaWork** · 29.12.2014, 16:09

Hallo,

Ein einfacher Lösungsansatz für diejenigen die es interessiert ClodFlare und Flexible SSL zu nutzen:

https://github.com/contao/core/issues/7542

**kos** · 31.12.2014, 08:47

Bleibt nur die Frage, ob man Cloudflare bei sensiblen Daten einsetzen sollte
=> heiseSecurity: Cloudflare schenkt all seinen Kunden ein bisschen SSL
sowie die Kommentare!

**NetMediaWork** · 31.12.2014, 13:08

Hallo,

abgesehen davon das es um eine rein technische Frage ging, meinst Du jetzt ernsthaft das deine Daten anderswo sicherer sind und sich irgendwelche Dienste davon abhalten lassen, sich die Daten zu besorgen, ob mit oder ohne richterlichen Beschluss ?

Allein ein Tracerroute zeigt schon, das der Fluss von Daten nicht zu beeinflussen ist und das ist sicher nur die offiziele Variante … Was ist mit Bots und Crawlern ? Vertraust Du der Software die Du auf deinem Computer benutzt ? Vertraust Du deinem Provider ? Sicher das Deine Daten nicht schon abgezogen werden, sobald Du sie überhaupt irgendwo speicherst ? … und … und … und … da haben wir noch nicht mal von Hacken geredet …

NSA und SSL und das Daten selbst bei der NSA nicht sicher sind, zeigt doch Geheimnisverrat von Herrn Snowden … Sicherheit ist das Unwort der Menschheit und jeder davon redet, sie Dir suggeriert oder gar Verkaufen möchte, macht sich erst recht verdächtig …

Schau Dir gelegentlich mal Person of Interest an

**tab** · 31.12.2014, 13:49

Klar, (Daten-)Sicherheit ist eine Illusion - und das nicht nur im Internet. Letztlich kann es nur darum gehen, wie einfach man es potenziellen Angreifern machen will. Das hängt dann sicher auch davon ab, wie sensibel die Daten denn nun wirklich sind.

Ist ja letztlich auch nicht viel anders als bei der Einbruchssicherheit der Wohnung oder des Hauses. Man kann die Haustür gleich offen lassen, man kann sie zumachen, ein normales Schloss verwenden, Zusatzsicherungen usw. Wirklich sicher wird es nie sein, lediglich der Aufwand für den Einbrecher ist größer, es dauert etwas länger. Was in dem Fall aber schon reichen kann, weil sich der Einbrecher dann womöglich lieber gleich ein weniger gesichertes Ziel für seinen Einbruch aussucht.

Das eigentlich gefährliche an der Sache (Cloudflare) ist aus meiner Sicht, dass Anwender/Kunden das eventuell für sicherer halten, als es wirklich ist. Das sollte man dann schon offen kommunizieren, damit von vornherein erst gar keine Missverständnisse aufkommen. Dann kann sich der Kunde immer noch überlegen, ob das für seine Ansprüche an die Datensicherheit reicht oder nicht.

**NetMediaWork** · 31.12.2014, 14:38

Zitat von tab

Das eigentlich gefährliche an der Sache (Cloudflare) ist aus meiner Sicht, dass Anwender/Kunden das eventuell für sicherer halten, als es wirklich ist. Das sollte man dann schon offen kommunizieren, damit von vornherein erst gar keine Missverständnisse aufkommen. Dann kann sich der Kunde immer noch überlegen, ob das für seine Ansprüche an die Datensicherheit reicht oder nicht.

Das ist logisch oder ? Nur weil Du deinem Kunden erzählst, das deine Daten nicht über Clodflare laufen, macht es sie nicht sicherer … Aber was bitte ist daran unsicherer als eine Cloud irgendwo anders, bei Strato, 1&1, Apple, Microsoft, einem CDN etc. ? Ganz im Gegenteil bietet Cloudflare ja auch die Möglichkeit eigene Zertifikate zwischen zu schalten oder nur zu verwenden.

Der eigentliche Vorteil liegt auch eher in einem schnelleren kürzeren Datenfluss, Filtern von Crawlern und Bots, Schutz vor Denial of Service, Spam-Schutz, CDN-Features, Zwischenspeicher (Cache) von Webseiten-Inhalten und -Ressourcen, um die eigenen Server zu schützen und zu entlasten. Always-Online - sofern der eigene Server nicht erreichbar ist, wird die letzte zwischengespeicherte Version angezeigt – inkl. Offline-Hinweis … etc.

Nochmals erwähnt ging es bei dem Post auch nicht darum für Cloudflare zu werben, oder als das NonPlusUltra darzustellen, sondern lediglich darum, wie es überhaupt möglich ist, es mit Contao nutzen/testen zu können … ob es letztlich jemand einsetzt und wie er es Kunden vermittelt ist doch eine ganz andere Sache.

Wichtiger wäre doch in diesem Zusammenhang die Frage, den bei Github gezeigten Workarround, der keineswegs vollständig ist z.b. für Inserttags, Datei-URL und Assets-URL ( wird nur href="//domain.tld/..." übernommen - kein http oder https, was aber auch durchaus valide ist ) updatesicher einzubinden, denn es ist wohl kaum damit zu rechnen, das es in den Core übernommen wird.

**tab** · 31.12.2014, 16:09

Hmm, ich gehe schon davon aus, dass es früher oder später eine Lösung im Core geben wird für solche Probleme. Kann man ja eigentlich auf Dauer nicht komplett ignorieren. Ob die dann genau so aussieht, wie in deinem(?) Workaround auf Github, das müssen andere entscheiden. Da wird sich wohl schon noch eine Diskussion entwickeln auf Github.

**NetMediaWork** · 31.12.2014, 16:32

Hallo,

DEM Workarround … Das kommt sicher darauf an, welche Variablen bei anderen Cloudsystemen zur Erkennung ob aktuell https oder http im Aufruf ist. Bei CloudFlare sind das ja CF-Eigene.

**tab** · 31.12.2014, 17:13

CloudFlare wird ja wohl nicht der einzige Problemfall sein. Wäre doch also schön, wenn man da irgendwas konfigurierbares im Core hätte, wo man solche woh leider notwendigen Speziallösungen dann selbst einstellen kann. Also z.B. Variablen und Werte. Oder wenigstens eine Möglichkeit, das irgendwo updatesicher unterbringen zu können. Schliesslich hat man sich ja sogar des IE erbarmt, als dieser das Wort Standard nicht lesen konnte.

**NetMediaWork** · 31.12.2014, 18:06

Hallo,

ist sicherlich auch über ein Modul zu lösen, das sich in die entsprechenden Stellen einklinkt. Schauen wir mal … eh für dieses Jahr schon ausgebucht … Happy New Year

**NetMediaWork** · 01.01.2015, 12:27

Hallo,

Updatesichere Änderung in der localconfig.php

PHP-Code:


if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') { 

    $_SERVER['HTTPS'] = 1; 

}

**ciaobello** · 01.01.2015, 13:54

Zitat von NetMediaWork

Hallo,

Updatesichere Änderung in der localconfig.php

PHP-Code:


if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') { 
    $_SERVER['HTTPS'] = 1; 
}

Danke dass Du Dein Wissen mit uns teilst.

Wo genau in der localconfig.php fügst Du das ein?
Vor, in oder nach dem Install Bereich?

Ich nehme mal an dass Trifft jetzt nicht nur auf CloudFlare zu?
Kann man das als allgemeines Weiterleiten von http auf https für Contao Bezeichnen?

**NetMediaWork** · 01.01.2015, 14:30

Hallo,

ich hab es erstmal auf die schnelle unter den Install-Code eingesetzt, kann aber auch in die initconfig.php …

**tab** · 01.01.2015, 16:07

Sieht gut aus. Zumindest scheint sich dieser Header als de-facto Standard zu etablieren. Auch bei Symfony hat man sich darüber wohl schon einige Gedanken gemacht. Zum Beispiel hier und auch hier.

Das ist natürlich einerseits interessant im Hinblick auf Contao 4, aber auch ganz allgemein, wenn man sich das durchliest. Jedenfalls verstehe ich das als Warnung, diesen Headern grundsätzlich immer, unabhängig von der Proxy Server IP, zu vertrauen. Noch besser wäre es danach wohl, nur bekannten (z.B. als zu CloudFlare gehörenden) Reverse Proxies zu vertrauen.

Jedenfalls gut zu wissen, dass es so wie von NetMediaWork beschrieben, updatesicher eingestellt werden kann.

**NetMediaWork** · 01.01.2015, 16:34

Hallo,

dies war der erste Gedanke über die Proxy-Einstellungen von Contao gehen zu können, allerdings konnte ich keine SSL-Proxy-Domain von ClodFlare finden. Die aus dem Zertifikat funktionierte nicht. Dann wäre auch immer noch offen ob über IPv4 oder IPv6 …

ClodFlare IP - Liste => https://www.cloudflare.com/ips

**NetMediaWork** · 01.01.2015, 16:40

Zitat von tab

Jedenfalls gut zu wissen, dass es so wie von NetMediaWork beschrieben, updatesicher eingestellt werden kann.

Zumindest wenn es sich um keine Multidomain-Installation handelt mit und ohne SSL. Dazu müsste man sicherlich noch den Host in die Abfrage mit einbeziehen.

**NetMediaWork** · 01.01.2015, 16:50

Hallo,

kleiner Switcher ( über Modul ModTemplate eingebunden, kann auch über {{file::xyz.php}} eingebunden werden, dann müssen allerdings die entsprechenden Servervariablen statt der Inserttags verwendet werden. )

PHP-Code:


<?php

 if($_SERVER["HTTPS"]=='on' || $_SERVER["HTTPS"]=='1' || $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')

 { 

    echo "<a title='SSL ON - deaktivieren' href='http://{{env::host}}/{{env::request}}'>SSL deaktivieren</a> - {{image::eb49587a-90a8-11e4-9a34-00185120d213}}"; 

 } 

else

 { 

     echo "<a title='SSL OFF - aktivieren' href='https://{{env::host}}/{{env::request}}'>SSL aktivieren</a> - {{image::eb495888-90a8-11e4-9a34-00185120d213}}";

 }

?>

Bildschirmfoto 2015-01-01 um 17.43.16.png

Bildschirmfoto 2015-01-01 um 17.43.39.png

**NetMediaWork** · 03.01.2015, 05:57

Hallo,

nur mal als Information für die Browserunterstützung. CloudFlare-SSL funktioniert nicht mit Opera 9 Presto, da dieser Browser kein ECDSA unterstützt, ebenso keine Browser über WinXP, kein SNI (Server Name Indication).

Wer also Besucher mit diesen Browsern nicht komplett aussperren will, sollte tunlichst vermeiden, alle Anfragen auf https zu leiten.

**NetMediaWork** · 04.01.2015, 11:53

Zitat von NetMediaWork

Hallo,

Updatesichere Änderung in der localconfig.php

PHP-Code:


if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') { 

    $_SERVER['HTTPS'] = 1; 

}

Hallo,

Beim Testen fiel auf, das sobald die Einstellungen bearbeitet oder die localconfig.php aktualisiert wurde durch cron bzw. Systemwartung, eine Fehlermeldung ausgegeben oder beim Eintrag in die initconfig.php nur noch eine weisse Seite ausgegeben wurde.

Wenn ein Kommentar vor und nach dem Snippet gesetzt wird, geschieht das nicht mehr. Bessere Variante, warum auch immer:

PHP-Code:


### CLOUDFLARE SSL START ###

if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') { 

    $_SERVER['HTTPS'] = 1; 

}

### CLOUDFLARE SSL STOP ###

**webstar** · 04.01.2015, 19:09

Für solche Anpassungen sollte man lieber die initconfig.php nehmen anstatt dies in die localconfig.php zu schreiben.

**NetMediaWork** · 04.01.2015, 19:47

Zitat von webstar

Für solche Anpassungen sollte man lieber die initconfig.php nehmen anstatt dies in die localconfig.php zu schreiben.

Sehe ich auch eher so => Post #13 … Funktioniert aber in beiden Dateien. Über ein Modul - tl_settings - lässt es sich aber wohl nur *grübel* in die localconfig.php schicken, oder ?