Apache2 我的密码是否被截获（http到https）_Apache2

Apache2 我的密码是否被截获（http到https）

apache2

Apache2 我的密码是否被截获（http到https）,apache2,Apache2,我已将apache2配置为将虚拟主机（munin）从http重定向到https，我有如下内容： cat /etc/apache2/site-enabled/default [...] # 20140619 - munin redirect http to https RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteCond %{REQUEST_URI} ^/munin/.* RewriteRule ^(.*)$ https://ser

我已将apache2配置为将虚拟主机（munin）从http重定向到https，我有如下内容：

cat /etc/apache2/site-enabled/default

[...]
# 20140619 - munin redirect http to https
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteCond %{REQUEST_URI} ^/munin/.*
RewriteRule ^(.*)$ https://server1.example.com/$1 [R,L]
[...]

munin有其默认配置

cat /etc/apache2/site-enabled/munin

Alias /munin /var/cache/munin/www
<Directory /var/cache/munin/www>
        Order allow,deny
        Allow from all ::1
        Options None
        AuthUserFile /etc/munin/munin-pass
        AuthName "server1.example.com"
        AuthType Digest
        require valid-user
    <IfModule mod_expires.c>
        ExpiresActive On
        ExpiresDefault M310
    </IfModule>
</Directory>

cat/etc/apache2/site enabled/munin
别名/munin/var/cache/munin/www
命令允许，拒绝
允许来自所有：：1
选项无
AuthUserFile/etc/munin/munin pass
AuthName“server1.example.com”
AuthType摘要
需要有效用户
过期于
到期默认M310

所以，当我尝试连接（使用chrome）到浏览器时，会立即询问我的用户名和密码（我使用http连接）。插入我的凭据后（浏览器警告我不受信任的证书，没关系：我没有受信任的证书）。当我强制它使用https连接时，我需要重新插入用户名和密码，只有现在我才能看到munin页面

现在，当我（第一次）插入用户和密码时，凭证是否可以拦截？或者我在SSL隧道中？

如果凭据通过HTTP传输，它们可以被拦截。如果凭据使用不受信任的证书通过HTTPS传输，则可以拦截凭据（如果用户习惯于在警告上单击“确定”，则坏人可以插入自己的证书，从而破坏SSL的全部用途）。确保安全的唯一方法是使用可信证书的HTTPS。

你好，罗伯特，谢谢你的回复。我的问题不是关于拦截https。我需要了解，在我的配置中，当我第一次插入凭据时，它是否通过http传输。我不确定，因为我需要插入凭证2次。谢谢