From: Thomas Dalichow Date: Thu, 31 May 2018 12:59:08 +0000 (+0200) Subject: fbb-www - BERFBB-4443: move TST from HTTP to HTTPS X-Git-Tag: v0.1.0~870 X-Git-Url: https://git.uhu-banane.de/?a=commitdiff_plain;h=9c4081c13919224ecf762fa13b6a719f73db0b79;p=pixelpark%2Fhiera.git fbb-www - BERFBB-4443: move TST from HTTP to HTTPS --- diff --git a/customer/fbb-www/test.yaml b/customer/fbb-www/test.yaml index 5f5ae72e..23f2ca45 100644 --- a/customer/fbb-www/test.yaml +++ b/customer/fbb-www/test.yaml @@ -315,6 +315,7 @@ infra::profile::apache::pp_vhosts: - 'HTTPS on X-Forwarded-Proto=https' - 'HTTPS on HTTPS=on' headers: + - 'set Strict-Transport-Security: max-age=31536000 env=HTTPS' - 'set X-Content-Type-Options: nosniff' - 'set X-XSS-Protection: "1; mode=block"' - 'set X-Frame-Options: DENY' @@ -355,6 +356,7 @@ infra::profile::apache::pp_vhosts: - 'HTTPS on X-Forwarded-Proto=https' - 'HTTPS on HTTPS=on' headers: + - 'set Strict-Transport-Security: max-age=31536000 env=HTTPS' - 'set X-Content-Type-Options: nosniff' - 'set X-XSS-Protection: "1; mode=block"' - 'set X-Frame-Options: DENY' @@ -379,7 +381,13 @@ infra::profile::apache::pp_vhosts: rewrites: - comment: 'FBBKERNSERV-285' rewrite_rule: - - '^/$ http://tst.berlin-airport.de/ [R=301,L]' + - '^/$ https://tst.berlin-airport.de/ [R=301,L]' + - comment: 'Regel fuer SSL-Bereich: wenn HTTP dann auf HTTPS weiterleiten und abbrechen' + rewrite_cond: + - '%{literal("%")}{HTTP:Https} !on' + - '%{literal("%")}{HTTPS} off' + rewrite_rule: + - '^(.*)$ https://%{literal("%")}{HTTP_HOST}$1 [R=301,L]' media-berlin-airport: docroot: '/var/www/media-berlin-airport' servername: tstmedia.berlin-airport.de @@ -398,6 +406,7 @@ infra::profile::apache::pp_vhosts: - 'HTTPS on X-Forwarded-Proto=https' - 'HTTPS on HTTPS=on' headers: + - 'set Strict-Transport-Security: max-age=31536000 env=HTTPS' - 'set X-Content-Type-Options: nosniff' - 'set X-XSS-Protection: "1; mode=block"' - 'set X-Frame-Options: DENY' @@ -422,7 +431,13 @@ infra::profile::apache::pp_vhosts: rewrites: - comment: 'FBBKERNSERV-285' rewrite_rule: - - '^/$ http://tst.berlin-airport.de/ [R=301,L]' + - '^/$ https://tst.berlin-airport.de/ [R=301,L]' + - comment: 'Regel fuer SSL-Bereich: wenn HTTP dann auf HTTPS weiterleiten und abbrechen' + rewrite_cond: + - '%{literal("%")}{HTTP:Https} !on' + - '%{literal("%")}{HTTPS} off' + rewrite_rule: + - '^(.*)$ https://%{literal("%")}{HTTP_HOST}$1 [R=301,L]' cdm-berlin-airport: docroot: '/var/www/cdm-berlin-airport' servername: tstcdm.berlin-airport.de @@ -442,9 +457,17 @@ infra::profile::apache::pp_vhosts: - 'HTTPS on X-Forwarded-Proto=https' - 'HTTPS on HTTPS=on' headers: + - 'set Strict-Transport-Security: max-age=31536000 env=HTTPS' - 'set X-Content-Type-Options: nosniff' - 'set X-XSS-Protection: "1; mode=block"' - 'set X-Frame-Options: DENY' + rewrites: + - comment: 'Regel fuer SSL-Bereich: wenn HTTP dann auf HTTPS weiterleiten und abbrechen' + rewrite_cond: + - '%{literal("%")}{HTTP:Https} !on' + - '%{literal("%")}{HTTPS} off' + rewrite_rule: + - '^(.*)$ https://%{literal("%")}{HTTP_HOST}$1 [R=301,L]' directories: - provider: 'directory' path: '/var/www/cdm-berlin-airport' @@ -465,33 +488,6 @@ infra::profile::apache::pp_vhosts: require: # lb-healthcheck---------------|fbb nat-------|parksystem BERFBB-3392---------------------|flughafen----------------------|local----------|PPAdmin-NAT-|-UnitB----------|Apcoa BERFBB-4095---| - 'ip 192.168.66.251 192.168.66.252 172.17.85.0/24 81.145.60.194 212.46.144.129 80.154.135.222 194.174.73.0/24 194.174.78.0/24 192.168.66.0/24 10.99.1.0/24 192.168.134.0/24 212.46.144.238' - publications-berlin-airport: - docroot: '/var/www/publications-berlin-airport' - servername: publications.berlin-airport.de - ssl: false - ssl_proxyengine: true - docroot_owner: apache - docroot_group: apache - access_log_format: remote_combined - setenvif: - - 'HTTPS on X-Forwarded-Proto=https' - - 'HTTPS on HTTPS=on' - headers: - - 'set X-Content-Type-Options: nosniff' - - 'set X-XSS-Protection: "1; mode=block"' - - 'set X-Frame-Options: DENY' - directories: - - provider: 'directory' - path: '/var/www/publications-berlin-airport' - allow_override: - - None - rewrites: - - rewrite_cond: - - '%{literal("%")}{HTTP:Https} !on' - - '%{literal("%")}{HTTPS} off' - rewrite_rule: - - '^(.*)$ https://%{literal("%")}{HTTP_HOST}$1 [R=301,L]' - custom_fragment: 'ProxyPass / https://www.yumpu.com/kiosk/berlinairport' berlin-airport: docroot: '/var/www/berlin-airport' servername: tst-www-fbb.pixelpark.net @@ -549,6 +545,7 @@ infra::profile::apache::pp_vhosts: - 'Remote_Addr "172\.18\.49\.24" AdslZugriffErlaubt' - 'Remote_Addr "10\.99\.1\.10" AdslZugriffErlaubt' headers: + - 'set Strict-Transport-Security: max-age=31536000 env=HTTPS' - 'set X-Content-Type-Options: nosniff' - 'set X-XSS-Protection: "1; mode=block"' - 'set X-Frame-Options: DENY' @@ -712,10 +709,10 @@ infra::profile::apache::pp_vhosts: rewrites: - comment: 'BERFBB-3621 -2' rewrite_rule: - - '^/de/presse/basisinformationen/(.*)$ http://tst.berlin-airport.de/de/presse/presseinformationen/$1 [R=301,L]' + - '^/de/presse/basisinformationen/(.*)$ https://tst.berlin-airport.de/de/presse/presseinformationen/$1 [R=301,L]' - comment: 'BERFBB-3621' rewrite_rule: - - '^/de/presse/pressemitteilungen/.*$ http://tst.berlin-airport.de/de/presse/presseinformationen/mitteilungen-archiv/index.php [R=301,L]' + - '^/de/presse/pressemitteilungen/.*$ https://tst.berlin-airport.de/de/presse/presseinformationen/mitteilungen-archiv/index.php [R=301,L]' - comment: 'BERFBB-2425 und BERFBB-2496' rewrite_cond: - '%{literal("%")}{REQUEST_URI} !^/xmas.*$' @@ -740,87 +737,12 @@ infra::profile::apache::pp_vhosts: rewrite_cond: - '%{literal("%")}{HTTP_HOST} ^berlin-airport.de$' rewrite_rule: - - '^(.*)$ http://tst.berlin-airport.de$1 [R=301,L]' + - '^(.*)$ https://tst.berlin-airport.de$1 [R=301,L]' - comment: 'BERFBB-4435' rewrite_cond: - '%{literal("%")}{HTTP_HOST} ^tstc-lounge.berlin-airport.de$' rewrite_rule: - '^/.*$ https://tst.berlin-airport.de/de/reisende-txl/am-flughafen/flughafenservices/lounge-terminal-c/index.php [R=301,NE,L]' - -#-----Neue Rewrites vor dieser Linie einfügen----------------------------------------------------- - - #HTTPS Rewrites - - comment: 'Nachgeladene Ressourcen sollen bei den Nachfolgenden HTTPS Rewrites aussen vor sein' - rewrite_cond: - - '%{literal("%")}{REQUEST_URI} /(_images|_docroot|favicon|_flughafenplan|_errors)' - rewrite_rule: - - '^.*$ - [L]' - - comment: 'Wenn URI im SSL-Bereich, dann ueberspringe die naechsten 2 Regeln' - rewrite_cond: - - '%{literal("%")}{REQUEST_URI} ^(/de/global/kontakt/|/en/global/contact/|/pl/global/kontakt/).*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^.*/index.php/kontakt/.*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^.*/index.php/showForm$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^(/de/presse/publikationen/bestellformular|/en/press/publications/order-form).*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^(/de/presse/foto-und-drehanfragen/genehmigungsformular|/en/press/photography-and-filming-permits/permit-application-form).*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/nachbarn/fluglaerm-und-flugrouten/fluglaerm/fluglaerm-informations-beschwerde-system.*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^.*(/parkplatzreservierung/index.php|/car-park-reservation/index.php|/rezerwacja-miejsc-parkingowych/index.php)$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/icons [OR]' - #BERFBB-2588 - - '%{literal("%")}{REQUEST_URI} ^/de/unternehmen/umwelt/fluglaerm/fluglaerm-informations-beschwerde-system.*$ [OR]' - #BERFBB-2638 - - '%{literal("%")}{REQUEST_URI} ^/de/geschaeftspartner/einkauf/einkauf-bewerbung.*$ [OR]' - #BERFBB-2356 - - '%{literal("%")}{REQUEST_URI} ^/de/nachbarn/schallschutzprogramm/dialog/hinweise-fragen-beschwerden.*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/unternehmen/aktuelles/newsletter/anmeldung.*$ [OR]' - #BERFBB-3639 - - '%{literal("%")}{REQUEST_URI} ^/de/geschaeftspartner/touristik-corporates/corporates/corporatetravelnews/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/geschaeftspartner/einkauf/lieferanten/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/geschaeftspartner/touristik-corporates/touristik/travelnews/index.php$ [OR]' - #BERFBB-4224 - - '%{literal("%")}{REQUEST_URI} ^/de/reisende-txl/am-flughafen/flughafenservices/lounge-terminal-c/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/reisende-sxf/erlebnis-flughafen/besucherterrassen/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/reisende-txl/am-flughafen/kontrollen/personen-und-handgepaeck/index.php$ [OR]' - # BERFBB-4418 - - '%{literal("%")}{REQUEST_URI} ^/de/global/kundenservice/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/en/global/customer-service/index.php$ [OR]' - # BERFBB-4536 - - '%{literal("%")}{REQUEST_URI} ^/de/ber/erlebnis-flughafen/flughafentouren/erlebnis-ber/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/reisende-sxf/erlebnis-flughafen/flughafentouren/erlebnis-ber1/index.php$ [OR]' - # OFIS Sites - - '%{literal("%")}{REQUEST_URI} ^/ofis/.*$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/starsberlin [OR]' - - '%{literal("%")}{REQUEST_URI} ^/securitastxl [OR]' - - '%{literal("%")}{REQUEST_URI} ^/securitas [OR]' - - '%{literal("%")}{REQUEST_URI} ^/bgstxl [OR]' - - '%{literal("%")}{REQUEST_URI} ^/bgssxf [OR]' - - '%{literal("%")}{REQUEST_URI} ^/airberlinhub [OR]' - - '%{literal("%")}{REQUEST_URI} ^/senatfluginfo [OR]' - - '%{literal("%")}{REQUEST_URI} ^/webteam [OR]' - # BERFBB-4460 - - '%{literal("%")}{REQUEST_URI} ^/de/global/gewinnspiel/index.php$ [OR]' - - # BERFBB-4555 - - '%{literal("%")}{REQUEST_URI} ^/de/ber/erlebnis-flughafen/flughafentouren/erlebnis-ber/tour-online-buchen/index.php$ [OR]' - - '%{literal("%")}{REQUEST_URI} ^/de/reisende-sxf/erlebnis-flughafen/flughafentouren/erlebnis-ber1/tour-online-buchen/index.php$ [OR]' - - #HTTPS URLS hier hinzufügen------------------------------------------------------------- - # BERFBB-4553 - - '%{literal("%")}{REQUEST_URI} ^/de/global/ila-gewinnspiel/index.php$' - rewrite_rule: - - '.? - [S=2]' - #HIER KEINE REWRITES EINFÜGEN! - - comment: 'andernfalls, wenn nicht SSL-Bereich, dann keine Aktion falls Protokoll HTTP' - # greift fuer Anfragen ueber den Loadbalancer - rewrite_cond: - - '%{literal("%")}{HTTP:Https} !on' - # Zugriff ueber Einzel-Nodes - - '%{literal("%")}{HTTPS} off' - rewrite_rule: - - '.? - [L]' - #HIER KEINE REWRITES EINFÜGEN! - - comment: 'ansonsten, falls HTTPS dann auf HTTP weiterleiten und abbrechen' - rewrite_rule: - - '^(.*)$ http://%{literal("%")}{HTTP_HOST}$1 [R=301,L]' #HIER KEINE REWRITES EINFÜGEN! - comment: 'Regel fuer SSL-Bereich: wenn HTTP dann auf HTTPS weiterleiten und abbrechen' rewrite_cond: