Howto Ssl
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
howto:howto_ssl [10.12.2018 05:59] nikolay_carbonsoft1 Approved(admin 2018/12/10 09:26) |
howto:howto_ssl [21.07.2021 13:33] (текущий) admin Approved(admin 21.07.2021 13:33) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| ====== Установка сертификата nginx ====== | ====== Установка сертификата nginx ====== | ||
| * обязательно объединить сертификат и цепочку поставщика <code bash> | * обязательно объединить сертификат и цепочку поставщика <code bash> | ||
| - | cat f16f88fb38746a5f.crt gd_bundle-g2-g1.crt > _cloudfox_com.pem | + | cat cloudfox.crt f16f88fb38746a5f.crt gd_bundle-g2-g1.crt > _cloudfox_com.pem |
| </code> | </code> | ||
| - | * cloudfox_com.key - приватный ключ | + | * cloudfox_com.key - приватный ключ которым генерили запрос |
| - | * Обязательно проверяем через https://www.sslshopper.com/ssl-checker.html#hostname=cloudfox.com | + | * Обязательно проверяем через |
| + | * https://www.sslshopper.com/ssl-checker.html#hostname=cloudfox.com | ||
| + | * https://www.ssllabs.com/ssltest/analyze.html?d=www.cloudfox.com&latest | ||
| <code> | <code> | ||
| listen 80; | listen 80; | ||
| Строка 18: | Строка 20: | ||
| ssl_dhparam /etc/ssl/dh4096.pem; | ssl_dhparam /etc/ssl/dh4096.pem; | ||
| ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA512:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:ECDH+AESGCM:ECDH+AES256:DH+AESGCM:DH+AES256:RSA+AESGCM:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2:!SSL3; | ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA512:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:ECDH+AESGCM:ECDH+AES256:DH+AESGCM:DH+AES256:RSA+AESGCM:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2:!SSL3; | ||
| + | </code> | ||
| + | |||
| + | |||
| + | ====== Системы мониторинга или проверки найстройки https ругаются на SSLv2. nginx ====== | ||
| + | У Вас сайт настроен на nginx, все небезопасные протоколы выключены, а системы тестирования сайтов ругаются, что у Вас поддерживается небезопасный протокол SSLv2. | ||
| + | |||
| + | Проблема в том, что роутинг в nginx для https построен на SNI, а он поддерживается только в TLS. При этом, в nginx может быть настроен дефолтный сайт (/etc/nginx/conf.d/default.conf), где, обычно, включен sslv2 по-дефолту. Т.е. если подключиться к Вашему сайту с помощью SSLv2, nginx подключит пользователя и зароутит его на дефолтный сайт. | ||
| + | |||
| + | Решение: выключить дефолт или отключить там небезопасные протоколы. Но тогда клиенты с устаревшими браузерами не смогут к Вам подключиться (если включен редирект http->https). | ||
| + | |||
| + | Проверить, доступен ли у Вас сайт по SSLv2 можно командой: | ||
| + | <code bash> | ||
| + | openssl s_client -connect localhost:443 -ssl2 | ||
| </code> | </code> | ||
nikolay_carbonsoft1