Hallo Julius,

Danke.

ich regel die Umleitung auf eine kanonische Variante und das Erzwingen einer bestimmten Domain so:

RewriteEngine On

# Domain kanonisieren
RewriteCond %{HTTP_HOST} !=remso.eu  

müsste das nicht so lauten?
RewriteCond %{HTTP_HOST} !=^remso\.eu
RewriteRule (.*) https://remso.eu/$1 [QSA, R=301,L]

HTTPS erzwingen

RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [QSA, R=301,L]

Der erste Block leitet alle nicht der gewünschten Domain entsprechenden Anfragen auf die kanonische um. Der zweite erzwingt HTTPS.

Das gibt dann aber immer noch eine Definitionslücke für den Fall, dass HTTPS am Server ausgefallen ist.

Im Prinzip müsste man für den Fall, dass nur HTTP (ohne TLS) gesprochen werden kann, alle Module, die Userdaten und/oder Logindaten transportieren, abschalten. Das geht entweder inerhalb der einzigen Applikation, oder durch Aufteilung in zwei getrennte Applikationen.

LG
localhorst