是否有必要强制 EC2 link 上的 SSL 连接到生产服务器？

Question

我通过 GoDaddy 拥有域名，我使用 CloudFlare 作为我的 DNS，虽然我有一个 SSL 证书。我的托管在 AWS 上。

当我通过我的域名访问该网站时，SSL 被强制执行，如果我通过 http 访问，它会被重定向到 https - 这就是我想要的。

但是，当我通过 EC2 域访问它时，未强制执行 SSL，大概是因为它不在 cloud flare 的证书上。

我的问题是，不将 EC2 域保留到强制执行 SSL 的生产站点是否存在危险？我尝试跟踪我的域的来源，但它只能返回到强制使用 SSL 的 CloudFlare，所以我认为不可能将站点跟踪回 EC2 域？

Answer 1

为防止客户绕过 Cloudflare 并直接访问您的网站，您需要通过您在 Cloudflare 注册的域名将他们重定向回来。这将产生强制 HTTPS 的副作用。

我假设：

• Cloudflare 正在终止 SSL，您的网络服务器只有 运行 HTTP。

假设您的网络服务器是 Apache，有几种方法。

使用服务器别名重定向。像这样修改您的 VirtualHost 条目：

<VirtualHost *:80> 
    ServerAlias ec2-public-ipv4-address.compute-1.amazonaws.com
    redirect permanent / https://www.yoursite.com
</VirtualHost>

或在您的 Web 服务器的根目录中修改 .htaccess。

RewriteEngine On
RewriteCond %{HTTP_HOST} ^ec2-public-ipv4-address.compute-1.amazonaws.com$
RewriteRule ^(.*)$ https://www.yoursite.com/ [R=301,L]

将上面的 DNS 名称更改为您实际的 EC2 Public DNS 名称。

如果他们使用 Public IP 地址访问您的网站，您会想要做同样的事情。

将此规则添加到 .htaccess:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} ^12\.34\.56\.789$
RewriteRule ^(.*)$ https://www.yoursite.com/ [L,R=301]

用您的 Public IP 地址替换上面的数字。将 IP 地址中的点 . 保留为反斜杠转义，例如 \.