Eu tenho lido muito sobre isso e tentado muitos dos métodos que encontrei e ainda não consegui fazer nada funcionar corretamente.
Quero poder proteger a área de administração e as páginas de login associadas. Portanto, qualquer coisa em example.com/admin/* ou example.com/user/* etc. precisa passar por SSL / TLS. Gostaríamos que isso se aplicasse a cada site na configuração de vários sites. Assim, exemplo1.com, exemplo2.com, exemplo3.com estão todos na mesma conta de servidor / usuário.
A configuração
- Drupal 7 multi site
- URLs limpos ativados
- PHP 5.3
- MySQL v14 d5
- Apache2
Notas
- Securepages não é uma opção, pois não existe uma versão estável do Drupal 7, e o uso da versão de desenvolvimento existente requer a correção do Drupal Core, o que contraria nossa política.
- Tentaram a Sessão 443 sem sucesso
- Tentou o Login Seguro sem sucesso
- Um certificado SSL (um certificado autoassinado por enquanto, durante o teste) é instalado e funciona no servidor para outros fins, mas não o Drupal.
- Eu li todos os documentos no Drupal.org sobre a ativação do HTTPS e tentei seguir as instruções lá com pouco sucesso
- Alternei a configuração $ conf ['https'] em settings.php sem resultados discerníveis.
As questões
Se eu ativar o HTTPS para tudo em um site, recebo um 404 para qualquer tentativa de acessar https: //, o que me leva a pensar que as regras de reescrita não se aplicam às páginas https. O que estou perdendo aqui? Existe uma condição / regra de reescrita que posso adicionar ao htaccess para corrigir isso?
Isso não é um problema resolvido na comunidade Drupal? As pessoas estão deixando suas áreas administrativas sem segurança, com as senhas dos usuários sendo enviadas de maneira clara? Acho isso difícil de acreditar, mas parece que não há solução integrada ou comumente conhecida para o problema.