Блог

Я настроил apache2 для перенаправления виртуального хоста (munin) с http на https, у меня есть что-то вроде этого:

 cat /etc/apache2/site-enabled/default

[...]
# 20140619 - munin redirect http to https
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteCond %{REQUEST_URI} ^/munin/.*
RewriteRule ^(.*)$ https://server1.example.com/$1 [R,L]
[...]
 

у munin есть конфигурация по умолчанию

 cat /etc/apache2/site-enabled/munin

Alias /munin /var/cache/munin/www
<Directory /var/cache/munin/www>
        Order allow,deny
        Allow from all ::1
        Options None
        AuthUserFile /etc/munin/munin-pass
        AuthName "server1.example.com"
        AuthType Digest
        require valid-user
    <IfModule mod_expires.c>
        ExpiresActive On
        ExpiresDefault M310
    </IfModule>
</Directory> 
 

Итак, когда я пытаюсь подключиться (с помощью chrome) к http://server1.example.com , браузер немедленно запрашивает у меня имя пользователя и пароль (я подключен по http). После того, как я вставил свои учетные данные (браузер предупреждает меня о ненадежном сертификате, все в порядке: у меня нет доверенного сертификата). Когда я заставляю его подключаться с помощью https, мне нужно повторно вставить имя пользователя и пароль, и только теперь я вижу страницу munin.

Теперь, когда я вставляю пользователя и пароль (в первый раз), могут ли эти учетные данные перехватываться? или я внутри SSL-туннеля?

Если учетные данные передаются по HTTP, они могут быть перехвачены. Если учетные данные передаются по протоколу HTTPS с ненадежным сертификатом, они могут быть перехвачены (если пользователи привыкли просто нажимать «ок» на предупреждение, плохой парень может вставить свой собственный сертификат и разрушить всю цель SSL). Вы можете быть в безопасности только при использовании HTTPS с надежным сертификатом.