У меня получилась следующая настройка:
Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]
Теперь некоторые сайты должны быть доступны только через HTTPS и действующий сертификат SSL. Для этих нескольких исключений я хотел бы активировать HSTS либо на nginx (предпочтительно, либо на Apache).
Эта проблема:
if Host = foo.tld затем установите Strict-Transport-Security xxx, но согласно http://wiki.nginx.org/IfIsEvil нельзя использовать if в locationif X-Forwarded-Proto 443 set Strict-Transport-Security xxx, но я не могу построить это с помощью SetEnvIf (Apache 2.2)Моя логика ошибочна? Еще одна идея для подхода?
Это текущая активная конфигурация:
nginx
server {
server_tokens off;
listen xx.xx.xxx.xxx:80;
server_name localhost;
location / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port 80;
proxy_set_header Host $host;
add_header X-XSS-Protection "1; mode=block";
}
}
server {
server_tokens off;
listen xx.xx.xxx.xxx:443 ssl;
server_name localhost;
ssl on;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_session_timeout 10m;
# http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
location / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port 443;
proxy_set_header Host $host;
add_header X-XSS-Protection "1; mode=block";
}
}
Лак
Никакой особой конфигурации.
Apache
<VirtualHost *:82>
[...] nothing special
</VirtualHost>
У вас может быть несколько серверных блоков. Так что просто добавьте новый серверный блок для доменов, которым нужен HSTS.
server {
listen xx.xx.xxx.xxx:443 ssl default_server;
# all ssl stuff
# and other directives
}
server {
listen xx.xx.xxx.xxx:443 ssl;
server_name example.com other.example.com;
# all ssl stuff
# and other directives with HSTS enabled
}
Здесь первый блок будет обрабатывать все https-соединения, кроме example.com и other.example.com.
И тебе не нужно ssl on директива, если у вас есть ssl флаг в listen.
РЕДАКТИРОВАТЬ
Есть еще одно решение с одним серверным блоком:
map $scheme:$host $hsts_header {
default "";
https:example.com "max-age=31536000";
https:other.example.com "max-age=31536000";
}
server {
server_tokens off;
listen xx.xx.xxx.xxx:80;
listen xx.xx.xxx.xxx:443 ssl;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_session_timeout 10m;
# ... other ssl stuff
location / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header Host $host;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security $hsts_header;
}
}
Мы используем map определить значение заголовка HSTS и использовать тот факт, что nginx не будет добавлять заголовок с пустым значением.
Вы также можете безоговорочно добавить заголовок HSTS.
Действительно, это вступает в силу только в том случае, если соединение установлено успешно, через TLS и без предупреждения о сертификате. См. Пункт 5.1. RFC6797.