Задать вопрос
@Dr_Wut
nginx

Как правильно настроить безопасность в nginx?

Добрый день всем.
История.
В компании поднят PKI (на базе windows 2012 R2) с oscp и проверкой по http. Корневой сертификат роздан всем заинтересованным.
Сайты раздаются через nginx.
В итоге все хорошо, но есть нюанс - хром при подключении пишет "на этом сайте используются устаревшие параметры безопасности" и рисует серый замок с желтым треугольником.
Подскажите кто знает, как сделать так, чтобы замочек стал зеленым?

P.S. Я знаю что это не принципиально, но очень хочется чтобы было все красиво.
  • Вопрос задан
  • 4488 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@MaySky
Серый замок с желтым треугольником видел в трех случаях:

1) В цепочке сертификатов используется сертификат с SHA1, вместо SHA256... Хром считает SHA1 не достаточно надежным и предлагает при следующей замене сертификата поменять ВСЕ сертификаты в цепочке на более защищенные.

2) В https странице есть яваскрипты и т.д., путь к которым прописан через http, а не через https и Хром показывает, что на странице содержатся небезопасные компоненты

3) AdBlock. Иногда он начинает блокировать рекламу на сайте и Хром так же начинает реагировать. Если отключить AdBlock, то все становится ок, но и реклама отображается.
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 2
@Nc_Soft
Настройки в студию, ну и мануал не лишним почитать
nginx.org/ru/docs/http/configuring_https_servers.html
Ответ написан
Комментировать
Комментировать
@Dr_Wut Автор вопроса
Мануал читал.
Конфиг:
server {
        listen  443 ssl;
        server_name     site.comp.com;
        error_page 497 https://$host:$server_port$request_uri;
        keepalive_timeout 70;
        charset utf-8;
        sendfile on;
        server_tokens off;
        client_max_body_size 500m;
        access_log /var/log/nginx/site.comp.com.log ;
        error_log /var/log/nginx/site.comp.com.log;
        ssl_certificate /etc/nginx/ssl/site.comp.com.crt;
        ssl_certificate_key /etc/nginx/ssl/site.comp.com.key;
        ssl_verify_depth        1;
        ssl_session_timeout     10m;
        ssl_session_cache       shared:SSL:10m;
        ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        location / {
                proxy_pass      http://site.comp.local;
                proxy_redirect  http://site.comp.com/ /;
                proxy_read_timeout 1800;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-Host $host;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Real-Ip $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                }
}
server {
        listen 80;
        server_name site.comp.com;
        proxy_set_header Host site.comp.com;
        location / {
                rewrite ^(.*)$ https://site.comp.com$1 permanent;
                }
}
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор
А5000 Event Solutions Москва
от 100 000 до 150 000 ₽
Прикладной администратор SberApps
Сбер Москва
от 230 000 ₽
Devops (Персона)
Сбер Москва
от 230 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать приложение калькулятор заказа материла ios + android (опция)
26 апр. 2024, в 15:30
100000 руб./за проект
Поддержка сервиса по рассылкам
26 апр. 2024, в 15:12
30000 руб./за проект
Unity AR прототип
26 апр. 2024, в 15:11
15000 руб./за проект
Ещё заказы