Заядлые друзья: Magento и HTTPS
Предыстория.
Google в прошлом году заявил, что сайты, работающие через протокол HTTP, по умолчанию будут считаться недостоверными. Такие сайты в поиске будут ниже расово верных "достоверных" сайтов. На деле обнаружилось предупреждение в результатах поиска о том, что сайт может быть взломан.
Не беда! Берем подписанный верификатором сертификат, закидываем его на хостинг, в админке Magento, включаем Use Secure Connections in frontend.
1. Magento оказался весьма странным движком. Безопасные соединения в админке переводят всю админку на SSL или TLS (зависит от хостера). В нашем случае TLS 1.2. Все круто: ECDHE, 256 bit AES, - вы понимаете о чем я. В прочем я отвлекся. Итак TLS... полностью, но только в админке. Фронт-энд при этом превращается в страшный винегрет, где ссылки на ресурсы сайта безопасные хаотично перемешаны с обычными. Например быстрый поиск по сайту вызывает обращение по HTTPS, а вот результаты - ссылки HHTP.
Файрфокс при этом считает, что сайт достовеный, принимает сертификат, входит в положение. Хром же говорит, что сертификат у сайта есть, но достоверность сертификата проверять отказывается.
Не беда. Пять минут в поисковике и находим воркэраунд. Переводим весь сайт на HTTPS. Есть такая возможность у Magento.
2. Глава вторая: Лоад балансер.
Из-за перевода всего сайта на HTPS принудительно. HTTP оказывается недоступным. Сессии обновляются принудительно (меняются куки на более другие). При этом происходит переадресация страницы на саму себя. Далее опять дело за браузером. Если он позволяет удалить/изменить куки, то все нормально. Если нет... тогда ошибка 302 - слишком много редиректов. Конечно много, цикл-то бесконечный. Проблема решается выключением всех проверок кукисов в админке Magento.
3. Хром.
Все пляски с бубном заканчиваются тем, что в хроме админка работает нормально, а фронтэнд позволяет залогиниться клиенту и войти в личный кабинет ровно один раз. Потом можно чистить куки, можно не чистить - все едино. Просто ничего не происходит.
Все.
Google в прошлом году заявил, что сайты, работающие через протокол HTTP, по умолчанию будут считаться недостоверными. Такие сайты в поиске будут ниже расово верных "достоверных" сайтов. На деле обнаружилось предупреждение в результатах поиска о том, что сайт может быть взломан.
Не беда! Берем подписанный верификатором сертификат, закидываем его на хостинг, в админке Magento, включаем Use Secure Connections in frontend.
1. Magento оказался весьма странным движком. Безопасные соединения в админке переводят всю админку на SSL или TLS (зависит от хостера). В нашем случае TLS 1.2. Все круто: ECDHE, 256 bit AES, - вы понимаете о чем я. В прочем я отвлекся. Итак TLS... полностью, но только в админке. Фронт-энд при этом превращается в страшный винегрет, где ссылки на ресурсы сайта безопасные хаотично перемешаны с обычными. Например быстрый поиск по сайту вызывает обращение по HTTPS, а вот результаты - ссылки HHTP.
Файрфокс при этом считает, что сайт достовеный, принимает сертификат, входит в положение. Хром же говорит, что сертификат у сайта есть, но достоверность сертификата проверять отказывается.
Не беда. Пять минут в поисковике и находим воркэраунд. Переводим весь сайт на HTTPS. Есть такая возможность у Magento.
2. Глава вторая: Лоад балансер.
Из-за перевода всего сайта на HTPS принудительно. HTTP оказывается недоступным. Сессии обновляются принудительно (меняются куки на более другие). При этом происходит переадресация страницы на саму себя. Далее опять дело за браузером. Если он позволяет удалить/изменить куки, то все нормально. Если нет... тогда ошибка 302 - слишком много редиректов. Конечно много, цикл-то бесконечный. Проблема решается выключением всех проверок кукисов в админке Magento.
3. Хром.
Все пляски с бубном заканчиваются тем, что в хроме админка работает нормально, а фронтэнд позволяет залогиниться клиенту и войти в личный кабинет ровно один раз. Потом можно чистить куки, можно не чистить - все едино. Просто ничего не происходит.
Все.