Bonjour,
J'ai souscrit à un VPS chez OVH en janvier 2022,
suite à l'arrêt des activités de mon hébergeur précédent en décembre 2021.
J'étais sur un hébergement mutualisé (=infogéré). Mon nom de domaine est sogedima.be
J'ai installé un serveur LAMP, mes BD Mysql, et quelques applications en PHP
Auxquelles mes utilisateurs se connectent, au moyen d'un login et d'un password, qu'ils ne souhaitent pas transférer "en clair" (en http) sur le web
Ca se comprend. On ne lâche pas son mot de passe sur un site sans cadenas dans la barre d'adresse.
Par conséquent, il me fallait un certificat https. J'ai souscrit à l'offre free, gratuite.
Les deux autres (20 et 200 € par mois Htva) me paraissant exorbitantes, par rapport au prix attractif du VPS (175 € pour 24 mois)
Pour mettre le certificat en oeuvre, j'ai redirigé mes deux noms de domaine
* www.sogedima.be
* sogedima.be
au lieu de l'adresse 92.222.217.123 de mon VPS, ils pointent sur l'IP du certificat 91.134.128.89
Dans la zone DNS
Afin d'activer https://www.sogedima.be
et https://sogedima.be
Ca marche, mais mes applications dérapent. J'ai cherché à comprendre pourquoi.
En effet, lors de la connexion, une fois l'utilisateur identifié par son mot de passe,
1) je note sa clef primaire dans $_SESSION['utilisateurId']
2) je mémorise son IP dans une variable de session
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
En plusieurs points-clef de mon logiciel, je teste
if(strcmp($_SERVER['REMOTE_ADDR'], $_SESSION['ip']) == 0)
{
//Effectuer le traitement voulu
}
else
{
unset($_SESSION['utilisateurId']);
// Ce qui ramène l'utilisateur vers la page de login
}
Un changement d'IP peut être interprété comme une usurpation de cookie session par un tiers non autorisé.
Par conséquent, pour que mon logiciel soit fiable, je veille à ce que mon utilisateur, identifié par son cookie session,
garde la même IP tout le long de la session.
Depuis que j'ai installé le certificat, l'IP de mon visiteur $_SERVER['REMOTE_ADDR'] change à chaque page.
De surcroît, c'est toujours une IP du même range d'IP 213.32.4.xxx
Ma question est donc de savoir comment configurer mon certificat free afin que:
1) l'IP donnée par $_SERVER['REMOTE_ADDR'] soit bien celle de mon visiteur
2) Qu'elle ne change pas durant toute la session.
Comme sous mon hébergeur précédent, chez lequel mes logiciels fonctionnaient parfaitement en https.
$_SERVER['REMOTE_ADDR'] me révélait bien l'IP de mon visiteur.
C'est ce que je voudrais retrouver.
Merci.
Christian
Pour mettre le certificat en oeuvre, j'ai redirigé mes deux noms de domaine
* www.sogedima.be
* sogedima.be
Vous vous êtes planté sur toute la ligne.
N'achetez aucun certificat, installez certbot ou acme.sh sur votre VPS (voyez https://letsencrypt.org/docs/client-options/ )
et magie, c'est votre VPS qui va établir la connexion sécurisée avec vos visiteurs.