Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 11796 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP to HTTPS redirection in 9.1

Marcello
Hi

According to this feature request page (Webserver Protection: Redirect HTTP to HTTPS) the feature has been implemented in 9.1. I've done the update, but am unable to find any settings pertaining to this feature. How do you setup HTTP to HTTPS redirection on WAF?


This thread was automatically locked due to age.
Parents
  • 0
    @BAlfson: You proposal completely ignores the fact that traffic will be unencrypted.

    Mario, I don't understand where we disagree.  If the Virtual Server listens on port 443, the traffic with the public is encrypted, if the Virtual Server listens on port 80, the traffic with the public is unencrypted.

    I think the background of the feature request is to enforce users to use HTTPS by redirecting them if they didn't.
     
    BTW: That's rather easy to accomplish manually by simply creating a small HTML page that does the redirect, put it on the backend server and add a HTTP virtual server to access it. 

    The manual redirect is what I would have expected for this situation, but I understand now that the goal was to force the same redirect at the perimeter instead of on the webserver itself.  Thanks for the explanation that made me see the underlying issue.

    So does that mean that the new feature is that if there's no Virtual Server listening on port 80, but there is a Virtual Server listening on port 443, all port-80 requests will be sent a redirect to port 443?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    @BAlfson: You proposal completely ignores the fact that traffic will be unencrypted.

    Mario, I don't understand where we disagree.  If the Virtual Server listens on port 443, the traffic with the public is encrypted, if the Virtual Server listens on port 80, the traffic with the public is unencrypted.

    I think the background of the feature request is to enforce users to use HTTPS by redirecting them if they didn't.
     
    BTW: That's rather easy to accomplish manually by simply creating a small HTML page that does the redirect, put it on the backend server and add a HTTP virtual server to access it. 

    The manual redirect is what I would have expected for this situation, but I understand now that the goal was to force the same redirect at the perimeter instead of on the webserver itself.  Thanks for the explanation that made me see the underlying issue.

    So does that mean that the new feature is that if there's no Virtual Server listening on port 80, but there is a Virtual Server listening on port 443, all port-80 requests will be sent a redirect to port 443?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?