apr 292015
 

https_ictoblog

UPDATE: Lees zeker ook dit bericht aansluitend op het bericht hieronder: Veilig verbinding maken met WordPress via TLS 2.1/HTTPS
Het bevat namelijk belangrijke aanvullingen!

Het is al weer vier jaar geleden dat een blogpost schreef “Veilig verbinding maken met je Synology NAS via SSL“. Daarmee kon ik de verbinding tussen mijn laptop / iPad / iPhone en mijn server versleutelen. Dat was met name veilig als ik buiten mijn eigen netwerk zat en dus niet wist wie er allemaal mee wilde kijken als ik inlogde en bestanden bekeek.

Inmiddels is het gebruik van SSL / HTTPS veel meer standaard. Als ik naar Google ga, dan gebruik ik standaard https://www.google.nl/, idem bij Twitter, Facebook, Gmail, kortom eigenlijk overal waar je wilt voorkomen dat anderen meekijken bij het intypen van je wachtwoord of berichten die niet voor iedereen openbaar zijn.

Dát het vier jaar geleden was ontdekte ik eigenlijk alleen omdat ik van de SSL-provider een berichtje kreeg dat mijn certificaat op 1 mei zou verlopen, of ik hem wilde verlengen of niet (als ik dat niet wilde hoefde ik niets te doen, kunnen tijdschriften een voorbeeld aan nemen!).

Ik heb hem verlengd, met de instructies die ik vier jaar geleden vastgelegd had, was dat een makkie. Ook al had ik inmiddels ook al een alternatieve route om aan de server te komen op een veilige manier, namelijk via de VPN-server die ik op een Raspberry Pi draaien heb, maar voor 30 euro wilde ik nog wel 3 jaar een rechtstreekse veilige verbinding.

Het was echter ook een moment om even na te denken over mijn eigen WordPress-server hier. Die staat buiten mijn eigen netwerk, bij een Nederlandse provider. Tot nu toe ging het verkeer, ook naar de admin-omgeving, dus ook bij het invoeren van wachtwoorden bij het inloggen etc. via een onbeveiligde verbinding. Heb je een weblog bij WordPress.com dan hoe je je geen zorgen te maken, die maakt al automatisch gebruik van SSL / HTTPS.
Ik besloot daarom dat het tijd was om dat voor hier ook te doen.

Hoe je dat op je eigen server doet zal erg afhankelijk zijn van de beheeromgeving die je gebruikt. Ik gebruik Webmin en daarin is het heel gemakkelijk.
Webmin
In de omgeving heb je namelijk per domein dat je actief hebt een optie bij “Server Configuration” die heet “Manage SSL Certificate”. Daar kun je het benodigde certificate signing request (CSR) en de bijbehorende private key aanmaken. Ik heb ook nu weer gebruik gemaakt van Xolphin (als je iets koopt en het werkt dan vier jaar zonder problemen…) om op basis van het CSR een certificaat aan te vragen.

Ik heb daarbij gebruik gemaakt van het goedkoopste type SSL-certificaat, voor één domein en zonder bedrijfsgegevens. Daarom zie ik alleen een groen slotje en niet nog een keer een bedrijfsnaam zoals bijvoorbeeld bij Twitter:
Twitter_SSL

Maar dat is voor de beveiliging hier niet erg.

Nadat ik het certificaat ontvangen had, kon ik dat ook gewoon via de webinterface van Webmin installeren. Daarna moest ik WordPress vertellen dat voor de admin-omgeving gebruik gemaakt moest worden van HTTPS. Dat kun je doen door een extra regel op te nemen in wp-config.php:

define('FORCE_SSL_ADMIN', true );

En meer komt er niet bij kijken. Vanaf dat moment gaat de site zelf nog ‘gewoon’ via HTTP en zodra je wil inloggen ga je via HTTPS. Op zich is er geen reden om alle verkeer via HTTPS te laten lopen, zo geheim zijn de berichten op mijn site nou ook weer niet en HTTPS kost iets meer servercapaciteit dan HTTP omdat het verkeer versleuteld moet worden.

beetje_veilig

Dat zou overigens wel kunnen, maar als je dat op dit moment doet door bv handmatig https://ictoblog.nl/ te bezoeken, dan krijg je een extra driehoekje bij het slotje. Die geeft aan dat niet alle onderdelen op de pagina via een HTTPS-verbinding naar je toe komen. Omdat ik namelijk niet afdwing dat alle onderdelen via een beveiligde verbinding worden verstuurd, komen alle afbeeldingen “aan de voorkant” gewoon via HTTP, terwijl ze hier in de admin-omgeving via HTTPS worden verstuurd.

Deel dit bericht:

  2 reacties aan “Veilig verbinding maken met WordPress via SSL/HTTPS”

Sorry, het reactieformulier is momenteel gesloten.