VOL migrou para HTTPS

fabio
(usa Debian)

Enviado em 15/12/2015 - 04:18h

Sempre quis implementar criptografia no VOL, mas sempre esbarrei nos altos valores cobrados pelas principais certificadoras. Sim, existe a StartSSL que provê certificado gratuito para 1 subdomínio de um site (no caso o www.vivaolinux.com.br ), mas o VOL caía num problema de usar 3 subdomínios em sua estrutura de front-end: www, img e static. Adotamos 3 subdomínios para isolar as componentes estáticos das páginas dinâmicas, assim como as imagens. Isso torna a renderização das páginas mais veloz. Não é possível misturar conteúdo criptografado e não-criptografado na mesma página.

Com o lançamento da certificadora https://letsencrypt.org o cenário mudou. Pela primeira vez existe uma entidade que provê certificados para múltiplos subdomínios a custo zero. Era a oportunidade pela qual sempre aguardei!

O que muda no VOL? NADA! As páginas HTTP serão automaticamente redirecionadas para HTTPS. Se por acaso alguém notar alguma inconsistência durante a navegação, favor reportar aqui.

Você pode estar se perguntando: - Porque você implementou HTTPS em todo o site e não somente na área de login?

De acordo com o Google Guidelines, é recomendável que todos os sites/blogs dêem preferência a este protocolo. Além de prover uma navegação mais segura à seus usuários, você ganha maior relevância em resultados de busca.

http://googlewebmastercentral.blogspot.com.br/2014/08/https-as-ranking-signal.html

Um abraço.

removido
(usa Nenhuma)

Enviado em 15/12/2015 - 08:57h

Bom dia,

Boa Fabio!! Gostei...

Abraço!!

Att,
Jbaf 2015
Debian 8 (MATE), CentOS 7 (KDE)
https://www.centos.org/

removido
(usa Nenhuma)

Enviado em 15/12/2015 - 09:48h

Very good!
Gostei de ver o cadeado na página do VOL!

spylinux
(usa Manjaro Linux)

Enviado em 15/12/2015 - 12:03h

Parabéns Fábio, grande implementação.
Foi difícil a integração do certificado na estrutura do site do VOL, do dominio, ou é tranquilo?

Ah, uma opinião...acho q a sessão dos usuários no VOL (login) deveria durar um pouco mais...mesmo pondo pra salvar a senha/sessão, em poucas horas ele perde a sessão.

Abraço
[]'s spylinux
Comunidade Manjaro Geek -www.manjaro-geek.org

madrugada
(usa Gentoo)

Enviado em 15/12/2015 - 13:30h

Muito bom!!!
Agora entendi porque hoje o site me pediu usuário e senha de novo, sendo que estavam salvos no navegador, o endereço tem um "s" a mais.

Parabéns!!!

fabio
(usa Debian)

Enviado em 15/12/2015 - 22:14h

Tive de editar aproximadamente uns 150 arquivos de template internos pra consertar os links para arquivos internos, pois não dá pra misturar arquivos criptografados com não-criptografados numa página. Exemplo, mudar:

<img src="http://img.vivaolinux.com.br..." /> 

Para:

<img src="//img.vivaolinux.com.br..." /> 

Fora isso foi tranquilo.



Na verdade os arquivos de sessão são zerados todos os dias às 2h da manhã. Dependendo da hora, tua sessão pode durar 10 minutos ou 23 horas :)

removido
(usa Nenhuma)

Enviado em 15/12/2015 - 22:17h

Gostei. Parabéns.

Sobre o login expirar, até onde percebi é feito um logoff automático nas contas mais ou menos às 2h40 da madrugada, horário de Brasília sendo de verão ou não.

----------------------------------------------------------------------------------------------------------------

fabio
(usa Debian)

Enviado em 15/12/2015 - 22:29h

Exatamente esse horário. Motivo? A quantidade de arquivos de sessão gerados num dia é tão grande que o PHP não consegue limpar por data de expiração, o garbage collector dele falha. Se eu esperar 2 dias, o diretório fica tão cheio de arquivos que leva horas para apagá-los manualmente, comprometendo inclusive os recursos da máquina.

A solução "gambiarra" que encontrei foi deletar os arquivos de sessão 1x por dia. Eu renomeio o diretório, crio um novo diretório para o PHP armazenar os arquivos e deixo uma rotina deletando os arquivos do dia. O servidor leva umas 2 horas para apagar todos os arquivos de sessão das últimas 24 horas (executo com nice -n 19).

Por isso a escolha deste horário, onde teoricamente a maioria dos membros já foi dormir.

Creto
(usa BigLinux)

Enviado em 16/12/2015 - 02:55h

Cadeado? Dá para sacar dinheiro, transferência... ei gente é brincadeira, parabéns pelo site Fábio!


Uso GNU/Linux sou livre, papa-chibé e açai (mas é açai mesmo aqui do Pará)

shoujo
(usa Slackware)

Enviado em 16/12/2015 - 11:26h

Nossa, o Windows Phone já perdia a sessão muito fácil, agora ficou muito pior.
Se eu abrir uma nova aba para ver um link que alguém postou quando voltar eu já perdi a sessão com a vol, tenho que ficar digitando a senha quase sempre.

Outra coisa, pelo pc no chrome de vez em quando a vol ta caindo. Aparece uma mensagem de aviso..

pherde
(usa Slackware)

Enviado em 16/12/2015 - 18:48h

Então, no meu trampo não funciona o site no chrome com a mudança para https. Mas deve ser algum problema com a rede, proxy talvez (quando acessei via web-proxy acessou normalmente). Aparece aquela tela de certificado inválido ou perigoso, mas que pode ser um problema momentâneo e pode voltar dentro de algum tempo . Mas sempre fica nessa tela.

edps
(usa Slackware)

Enviado em 16/12/2015 - 20:28h

very weel, o que me leva a perguntar se de alguma forma usuarios do VOL, particularmente o que usam navegadores velhos e sistemas idem, serao afetados por isto:

http://olhardigital.uol.com.br/noticia/quase-40-milhoes-ficarao-sem-seguranca-na-internet-em-1-de-ja...

* no mais, parabens pela nova implementaçao.