Сайт Azure теряет безопасный SSL / Https после входа в систему

Question

Это не обязательно «уходит», но когда мое приложение загружается, слой https применяется правильно. Начальная нагрузка

Затем вы входите в систему, используя MVC Identity 2.0, и блокировка SSL меняется на информационное предупреждение.

После входа в систему

У меня есть несколько опубликованных приложений для Azure, использующих SSL. Все они используют один и тот же процесс входа в систему, но это единственный сайт, который теряет SSL. Любая помощь приветствуется.

Answer 1

Я просмотрел ваши скриншоты до и после входа в систему и могу точно понять, что вы имеете в виду, когда браузер показывает зеленое сообщение «Безопасное» перед входом в систему и показывает информационное предупреждение вместо входа в систему.

В этих случаях проблема, как правило, не связана с самим сертификатом SSL - если ваш сертификат недействителен, вы, скорее всего, увидите вместо этого красное предупреждение «Незащищенный» - что-то вроде этого:

Проблема, скорее всего, связана с смешанным содержимым . Это означает, что, хотя содержимое HTML для самой страницы загружается безопасно по HTTPS, могут существовать другие ресурсы, на которые ссылается страница (например, файлы CSS, файлы JavaSript, изображения и т. Д.), Которые загружаются по обычному HTTP.

Я бы порекомендовал открыть инструменты разработчика в вашем браузере (например, в Chrome для Windows вы можете открыть его, нажав F12). Скорее всего, вы увидите желтый значок предупреждения, по которому можно щелкнуть, чтобы получить дополнительную информацию. Если у вас смешанные проблемы с контентом, он покажет вам, какие ресурсы вызывают проблему.

На рисунке ниже показан пример предупреждения о смешанном контенте:

Важным моментом использования SSL-сертификата и загрузки страниц по HTTPS является то, что ваша страница действительно защищена только в том случае, если все ресурсы, необходимые для запуска страницы, также загружены безопасным образом по HTTPS. Например, вы можете загрузить страницу по HTTPS, но включить ссылку на файл JavaScript по обычному HTTP, например ::1030*

<script src="http://www.example.com/myjavascript.js"></script>

В этом случае злоумышленник потенциально может манипулировать содержимым файла JavaScript, прежде чем он попадет в браузер пользователя, и вставить в него вредоносный код, который может затем скомпрометировать всю страницу. Чтобы это исправить, вам просто нужно изменить код на:

<script src="https://www.example.com/myjavascript.js"></script>

Надеюсь, это поможет вам в правильном направлении найти источник проблемы.

Также по вопросу безопасности и SSL / TLS, поскольку вы внедряете систему входа в систему, вы также должны убедиться, что все файлы cookie авторизации, используемые вашим сайтом:

• установлено на Secure. Это обеспечит безопасную передачу содержимого файлов cookie только по протоколу HTTPS.
• установлено на HttpOnly. Это гарантирует, что код JavaScript на ваших страницах не будет иметь доступа к этим файлам cookie.

Вы можете проверить, какие из ваших файлов cookie установлены на Secure и HttpOnly, используя инструменты разработчика вашего браузера.