Da http a https... subito mal di testa!

[lucantropo]

Buona sera, in previsione dei "miglioramenti" di chrome a partire dal 1 gennaio 2017, ho effettuatto alla bersagliera il passaggio del mio sito da http a https.
Ecco come è andata:
1) il mio hosting ha messo a disposizione un certificato ssl dv, l'ho quindi installato sul server
2) dal back end di joomla ho forzato https e quin son cominciati i problemi:
Tutto andato in corto circuito e firefox mi diceva che il sito non reindirizzava nel modo corretto, front end e back end irraggiungibili, ho trovato la soluzione cambiando il valore di $force_ssl nel configuration.php da 2 a 0, tutto è ripartito e il back end si vede perfettamente.
3) controllo il front end del sito e si visualizza con https, peccato che il template non caricichi il css, nessun template ho provato anche con protostar...

4) cerco di tornare indietro disattivando il forza ssl ma niente il sito continua ad andare sulla pagina https non caricando i css.

A dir la verità pensavo fosse tutto più semplice e son sicuro di aver sbagliato qualcosa io, quindi chiedo lumi a qualcuno che possa aiutarmi.

Ringrazio in anticipo

[alexred]

Ciao lucantropo,
impostando a zero $force_ssl hai correttamente disattivato il parametro ssl in configurazione globale,
per ripristinare la situazione devi eliminare il certificato digitale dal server.

Ma che tipo di sito hai?
Richiedi il numero di carta di credito agli utenti? Oppure hai la registrazione utenti attiva sul sito per far registrare e fornire servizi agli utenti registrati ?

[lucantropo]

Ciao Alex, il mio sito in realtà ha solo un box di registrazione per una newsletter, potrei evitare tutta sta trafila ma lo faccio più per studio che per reale esigenza.
Detto questo ho visto che eliminando la compressione gzip i css si caricano.
Quando forzo il ssl di nuovo ci son problemi.
Potrei ovviare con htaccess ma non ho ancora trovato una fonte adatta per capire come fare.

[conti1]

ciao
e come fai ad oviare un certificato tramite htaccess
avere il certificato  e proppio x la sicurezza dei dati,  allora a che serve avere un sito certificato  falso  che poi lutente si sente protetto "per modo di dire" ma in realta  la sicurezza e fasulla.
io  per ora ne oh certificati 4  con 4/5 problemi  ma tutti risolvibili, sono ecomerce  i pagamenti gia erano https  sia da peypal che dal pos  , ma avendo una registrazione utente i dati ci sono.

ci sara da divertirsi  a rispondere alle domande quando ci sara il bum  che tutti vogliono https nel link .

[lucantropo]

Ciao conti, mi son espresso male.
Il certificato funziona ma non riesco a forzare il ssl con joomla.
Quindi ho sia indirizzi http che https.
L'ovviare con .htaccess era riferito a questo aspetto.
Ovvero fare un redirect da http ad https in manieri automatica.
Purtroppo però non ho ancora capito come farlo.

[conti1]

ciao forzalo lato server  visto che il tuo hosting penso sia il solito ha una aplicazione di Redirect   che indiriza tutte le richiesti  da http in https

[Alex21]

Il settore dei certificati SSL è davvero roba da ... mal di testa!
La stragrande maggioranza dei siti, joomla compresi, ha bisogno solo di un certificato di primo livello, adeguato  a proteggere una pagina di LogIn oppure un form di contatto. Nel caso di siti che scambiano denaro oppure informazioni molto sensibili il certificato di primo livello non basta più. I certificati di livello più alto non esistono free, mentre per il primo livello si possono avere gratis.
CA che offrono certificati free: StartCom triennale, Comodo 90 giorni rinnovabile e, soprattutto Let' Encrypt che è una recente iniziativa di Mozilla e dura 90 giorni rinnovabile, CloudFlare naturalmente.
Pregi e difetti.
StartCom necessita di una CSR e non è riconosciuto da Mozilla Firefox. E' probabilmente una ripicca perché Mozilla ha varato da poco Let'Encrypt. Tutti gli altri browser riconoscono StartCom e Firefox dopotutto   non è così diffuso.
Comodo è un ottimo certificato ma nel caso free bisogna ripetere la procedura di rinnovo frequentemente. Vale a dire farsi fare dal proprio server una CSR, farla firmare da Comodo e installarsela. Ci vuole una mezza oretta. Comunque fare un po' di pratica non fa male perché i certificati di livello superiore sono così.
Let'Encrypt è un ottimo certificato naturalmente ma richiede che sia montato nel server destinatario uno speciale software di Mozilla, CertBot se non vado errato. La cosa è obiettivamente invadente  però sembra che un po' per volta siano tantissimi i provider che volenti o nolenti vanno adeguandosi. In effetti una volta che il server destinatario ha installato il software di Mozilla il certificato si ottiene con un click...


Se una pagina è https bisogna che tutte le chiamate siano https, altrimenti il lucchetto verde sparisce. Per joomla è un problema in quanto una pagina joomla carica un sacco di risorse esterne e mica tutte sono https e comunque bisogna rivedere tutti i link esterni.
Chi non ha bisogni particolari può limitarsi a certificare le pagine di login e del form di contatti.
Fino a pochi giorni fa questa estensione era free. Adesso non so.
https://www.yireo.com/software/joomla-extensions/ssl-redirect
Funziona bene comunque.
Ciao!

[lucantropo]

Per ora ho disattivato il certificato, a prescindere da come possa risolvere il problema credo sia ancora prematuro spostare tutto in https.
Come è stato detto ci son troppe risorse esterne non https. giusto per fare un paio di esempi:

Codice: [Seleziona]

<link href='http://fonts.googleapis.com/css?family=Roboto' rel='stylesheet' type='text/css'>

Codice: [Seleziona]

<script type="text/javascript" src="http://code.jquery.com/jquery-latest.min.js"></script>
Certo son tutte cose che  ho inserito nel mio template e probabilmente saranno risolte a breve sempre se non hanno già l'alternativa, ma per alcuni plugin che utilizzo mi sa che devo ancora aspettare.

Vedfremo, nel frattempo mi informerò meglio

ps. il plugin di yreo ha una versione free con meno opzioni, devo testarla un po' per vedere come gira.

[Alex21]

ps. il plugin di yreo ha una versione free con meno opzioni, devo testarla un po' per vedere come gira.

Gira bene. https://edilweb.eu/index.php/homepage/login
... Perdonate il link 
Ciao!

[lucantropo]

Ehm mi dspiace darti (forse) cattive notizie...
Spero l'allegato si veda...
Chrome su android

[tomtomeight]

Scusa ma quello non è un errore di configurazione, si tratta di un certificato non emesso da un autorità certificata. Puoi fare tutti i redirect di questo mondo ma la  segnalazione non scomparirà mai

[Alex21]

Scusa ma quello non è un errore di configurazione, si tratta di un certificato non emesso da un autorità certificata. Puoi fare tutti i redirect di questo mondo ma la  segnalazione non scomparirà mai

Non è un errore.
Ok, sostituirò lo StartCom con un altro.
Ciao!

[Alex21]

Certificato sostituito con un altro.
Ho guardato con vari browser e funziona, ma non si sa mai
https://edilweb.eu/index.php/homepage/login


Ciao!

[Limma]

Certificato sostituito con un altro.
Ho guardato con vari browser e funziona, ma non si sa mai
https://edilweb.eu/index.php/homepage/login


Ciao!

È possibile sapere che tipo di certificato hai usato?
Thanks

[Alex21]

È possibile sapere che tipo di certificato hai usato?
Thanks

Certo,
ho usato un Let's Encrypt. https://letsencrypt.org/


A desktop va bene per chiunque. A cellulare non so. Magari Apple si e Google no. Vai a capire.
Mah, mi sa che i prossimi mesi saranno complicati per i certificati.


Buon Anno!

[Limma]

Grazie per le informazioni 
Credo anch'io che ci sarà da sbattersi per questo https...


Auguri a te e tutti i forumisti
 

[infermieriattivi]

Buon Anno
Chi finisce o inizia joomlando che il sito resti sempre online.


Anch'io ho SSL sul sito, era un certificato messo a disposizione dal piano hosting e ne ho approfittato alla bersagliera, proprio in virtù del fatto che forse sarà considerato un sito più affidabile.
Dal lato pratico i problemi che ho avuto sono stati solo per moduli o immagini che usavano risorse esterne non https.
Chrome lasciava vedere il sito, ma Mozilla è più severo, dava il mio sito per non sicuro, brutta pubblicità.
Tolte quelle risorse con Mozilla siamo tornati amici
Buon anno