Área de administração e login do Drupal, Protegendo-os com HTTPS

Eu tenho lido muito sobre isso e tentado muitos dos métodos que encontrei e ainda não consegui fazer nada funcionar corretamente.

Quero poder proteger a área de administração e as páginas de login associadas. Portanto, qualquer coisa em example.com/admin/* ou example.com/user/* etc. precisa passar por SSL / TLS. Gostaríamos que isso se aplicasse a cada site na configuração de vários sites. Assim, exemplo1.com, exemplo2.com, exemplo3.com estão todos na mesma conta de servidor / usuário.

A configuração

• Drupal 7 multi site
• URLs limpos ativados
• PHP 5.3
• MySQL v14 d5
• Apache2

Notas

• Securepages não é uma opção, pois não existe uma versão estável do Drupal 7, e o uso da versão de desenvolvimento existente requer a correção do Drupal Core, o que contraria nossa política.
• Tentaram a Sessão 443 sem sucesso
• Tentou o Login Seguro sem sucesso
• Um certificado SSL (um certificado autoassinado por enquanto, durante o teste) é instalado e funciona no servidor para outros fins, mas não o Drupal.
• Eu li todos os documentos no Drupal.org sobre a ativação do HTTPS e tentei seguir as instruções lá com pouco sucesso
• Alternei a configuração $ conf ['https'] em settings.php sem resultados discerníveis.

As questões

Se eu ativar o HTTPS para tudo em um site, recebo um 404 para qualquer tentativa de acessar https: //, o que me leva a pensar que as regras de reescrita não se aplicam às páginas https. O que estou perdendo aqui? Existe uma condição / regra de reescrita que posso adicionar ao htaccess para corrigir isso?

Isso não é um problema resolvido na comunidade Drupal? As pessoas estão deixando suas áreas administrativas sem segurança, com as senhas dos usuários sendo enviadas de maneira clara? Acho isso difícil de acreditar, mas parece que não há solução integrada ou comumente conhecida para o problema.

Não é a pergunta que você fez, mas a resposta mais simples é que você deve alterar sua política.

O núcleo de "hacking" (corrigindo-o) e a execução de versões instáveis ​​é a realidade da execução de um site.

Os dois patches necessários para páginas seguras frequentemente precisam de relançamentos, revisões ou aprimoramentos. Envolva-se nesse ciclo e ajude a mantê-los estáveis.

Usei as seguintes configurações para fazer isso ... e não precisava de um módulo para fazer isso. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

E voooala !! isso fará com que todo o tráfego http trafegue por https, incluindo recursos como js e css. Se você deseja subdomínios, adicione as diretivas ServerAlias ​​apropriadas nos arquivos vhosts.

Eu uso o módulo Ubercart SSL, que é um módulo fantástico, embora tenha um nome horrível . Você não precisa estar executando o Ubercart para aproveitar este módulo, que é muito estável e fácil de usar.