Попытка получить полностью бесплатный SSL на Heroku с использованием бесплатного Универсального SSL Cloudflares
Прочтите эту статью: http://mikecoutermarsh.com/adding-ssl-to-heroku-with-cloudflare/
Что, по-видимому, позволяет предположить, что Cloudflare предлагает SSL бесплатно.
Сделанные мной шаги:
Принудительное https с этим явным промежуточным программным обеспечением:
app.use(function(req, res, next) {
if (req.headers['x-forwarded-proto'] != 'https') {
res.redirect('https://' + req.headers.host + req.path);
}
else {
return next();
}
});
Домен heroku http://example-app.herokuapp.com работает правильно и перенаправляется на https://example-app.herokuapp.com, зеленый замок и все.
Оба http://example-app.com и https://example-app.com не работают. Значок вкладки браузера просто продолжает вращаться и никогда не разрешается. Любые идеи о том, как это сделать? Возможно ли это?
Это похоже на то, что это действительно возможно. Поддержка CloudFlare:
Привет, Билл,
В принципе, если "origin" поддерживает SSL-соединение, вы можете использовать Full SSL с CloudFlare.
Саймон
CloudFlare опубликовала это сообщение в блоге сегодня: https://blog.cloudflare.com/universal-ssl-be-just-a-bit-more-patient/
Мой сайт начал разрешать, но сообщение "Ваше соединение не является частным", как в разделе "Ошибки, которые вы можете увидеть" в блоге. Также в моих настройках CloudFlare появляется предупреждение "SSL-выдача", поэтому я представляю, как только он будет выпущен, это может просто работать. Я буду держать вас в курсе.
Это работает точно так же, как я его настраивал. Проблема заключалась в том, что CloudFlare потребовалось пару дней для выпуска Unlimited SSL. После того, как он скажет "SSL active" в соответствии с вашими настройками SSL CloudFlare, он будет работать.
Существует улов: он небезопасен между Heroku и Cloudflare.
*.herokuapp.com, CF счастлив. К сожалению, человек в середине между Heroku и CF может представить самозаверяющий сертификат snakeoil.co.mordor, что CF будет одинаково счастлив (и пользователь не может сказать, что они видят только CF cert)! Он задокументирован в разделе полного SSL-сообщения в блоге CloudFlare Представляем строгий протокол SSL.yourdomain.com cert и даст страницу с ошибкой:-(Итак, эта настройка с полным SSL приемлема? Можно утверждать, что связи между CF и Heroku, вероятно, "лежат на позвоночнике над облаками" и относительно трудно контролировать активного атакующего, поэтому сообщение явно безопаснее, чем вообще TLS. НО он не является сквозным, и вы предоставляете пользователю ложное чувство безопасности, обычно связанное с HTTPS и значком зеленого замка, а некоторые говорят, что хуже, чем раньше нет TLS вообще... [См. Мнения https://news.ycombinator.com/item?id=8382335]
По состоянию на февраль 2015 года я не видел опции в CF для настройки режима Full Strict, чтобы ожидать получения сертификата в другом домене. Я понятия не имею, почему CF этого не допускает, это было бы технически выполнимым.
Чтобы получить домен apex для работы, вам, вероятно, потребуется использовать DNS-провайдер, который поддерживает записи ALIAS, Cloudflare также выполняет DNS и скорее всего, будет работать, Больше поставщиков, перечисленных здесь: https://devcenter.heroku.com/articles/custom-domains#root-domain
Чтобы это сработало, вам нужно создать правило страницы на Cloudflare для своего домена. Моя выглядит примерно так:
URL Pattern: my-domain.co/*
Forwarding to: https://www.my-domain.co/$1
Оттуда вы можете использовать CNAME на www, чтобы указать на my-domain.herokuapp.com.
Cloudflare (и большинство других DNS-провайдеров) не позволяет записи CNAME для корневого домена. Только для субдоменов. www является субдоменом, поэтому вы можете заставить весь трафик использовать www и cname для heroku.