Mailing-List: contact users-de-help@httpd.apache.org; run by ezmlm
Precedence: bulk
Reply-To: users-de@httpd.apache.org
Received-SPF: neutral (herse.apache.org: local policy)
From: "Marcus Reimann" <Marcus.Reimann@reimann-systemberatung.de>
To: <users-de@httpd.apache.org>
Subject: RE: mod_ssl: HTTP und HTTPS gleichzeitig auf Port 443?
Date: Sat, 23 Dec 2006 02:43:02 +0100
Message-ID: 
 <CFELJNOBFGAAKLKCILMMMECGICAA.Marcus.Reimann@reimann-systemberatung.de>
MIME-Version: 1.0
Content-Type: text/plain;
	charset="iso-8859-15"
Content-Transfer-Encoding: 8bit
In-Reply-To: <004101c725e1$b683d1b0$25f3a8c0@hq.anova.de>
Importance: Normal

Hallo Olaf,

Du schreibst:

>forbid access unless HTTPS == disable HTTP (funktional gesehen)
>
>La�' mal gut sein, das bringt uns nicht weiter.

Du hast in Deiner ersten Mail zu diesem Thema gefragt, was Dein
Denkfehler sei, genau dies ist er: "forbid" <> "disable" !

Nochmal zur Klarstellung: Wenn eine Direktive etwas verbietet,
hei�t das nicht, das die Direktive irgendetwas "abschaltet" oder
"deaktiviert", sondern sie _verbietet_ etwas Spezielles.

Etwas zu verbieten und etwas abzuschalten ist (erst recht
funktional gesehen) ein Riesen-Unterschied:
- Du kannst beispielsweise Benutzern Deines Fileservers
  den Zugriff auf ausgew�hlte Dateien _verbieten_ aber das
  bedeutet ja nicht, dass Du deshalb den dahinter laufenden
  Fileserver "abschaltest" oder "deaktivierst".
- Du kannst innerhalb einer Datenbank einigen Benutzern den
  den Zugriff auf eine Tabelle mit vertraulichen Daten
  _entziehen_ - deshalb wird aber nicht die gesamte Datenbank
  "abgeschaltet"
- Und so ist bei dieser Direktive eben auch: hier wird nichts
  und nie nicht abgeschaltet, sondern es wird etwas _verboten_
  (forbidden). SSL soll bei dieser Direktive schonmal gar nicht
  abgeschaltet werden, sondern im Gegenteil:

Die Direktive SSLRequireSSL ist daf�r da, Benutzern den Zugriff
auf den Inhalt eines Verzeichnisses zu verbieten - und zwar
solange, bis der Benutzer via SSL auf das Verzeichnis zugreift
(deshalb auch die Bezeichnung "RequireSSL" - ein Zugriff auf
diese Resource _erfordert_ SSL).

Sobald diese Direktive gesetzt ist (und das SSL-Modul geladen
ist), wird von mod_ssl gepr�ft, ob der Zugriff auf die Resource
via SSL (und damit ist das Protokoll "https" gemeint und nicht
"http", wie in den Beispielen Deines Eingangspostings aufgef�hrt)
erfolgt oder nicht.
- Wenn der Zugriff �ber SSL erfolgt,
  dann wird die Resource ausgeliefert.
- Wenn der Zugriff jedoch nicht �ber SSL erfolgt,
  dann wird die Resource nicht ausgeliefert, sondern
  der Apache gibt entsprechend die Fehlermeldung aus,
  dass der Zugriff bei dieser Resource halt nur �ber SSL
  erfolgen darf.

Du hast in Deinem Eingangsposting geschrieben:
>Nunmehr wider Erwarten bekomme ich jedoch "Error 400 / Bad
>request".

Das ist genau die Fehlermeldung, die der Apache schickt,
weil Du auf die Resource _ohne_ SSL zugreifen m�chtest. Der
Apache verh�lt sich in Deinem Fall also genauso, wie Du ihn
konfiguriert hast:
1. Du hast Deinem Apache gesagt "SSLRequireSSL" (zum Zugriff
   auf die Resource ist SSL notwendig)
2. Du rufst die Resource ohne SSL auf (Du verwendest in
   Deinem Beispiel "http", nicht "https").
3. Ergebnis: Die Auslieferung ohne SSL wird unterbunden
   (forbidden) und stattdessen gibt's ne Fehlermeldung.

Max hat nochmal ein sch�nes Anwendungsbeispiel f�r den
Einsatz der Direktive "SSLRequireSSL" gepostet.

Ebenfalls frohe Weihnachten
 Marcus Reimann
 M. Reimann Systemberatung
 http://www.reimann-systemberatung.de


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------