поддержка SSL

[head]

Настроил SSL для сайта, получаю желтый значек в адресной строке "Однако это страница содержит другие ресурсы которые не являются безопасными".

Ввиду того, что Google решил плотно взяться за SHA1 и "изгнать" его из сети, всем, у кого сертификаты от StartSSL, рекомендую следующее:
1. Правим /usr/local/vesta/nginx/conf/nginx.conf

nginx.confShow

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

Альтернативный вариант, если игнорируем старые браузерыShow

ssl_ciphers 'AES128+EECDH:AES128+EDH';

2. Берем для Центр сертификации SSL / Intermediate сертификат с SHA2

StartSSL Class1 SHA2Show

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

3. Удаляем из хранилища сертификатов браузера старые сертификаты StartCom Class1.
4. Обновляем страницу, наслаждаемся результатом.
Как быть с посетителями применительно к п.3 - ума не приложу. Возможно "рассосётся само".

ИсточникиShow

Конфиг nginx: https://raymii.org/s/tutorials/Strong_S ... nginx.html
Сертификат: https://www.startssl.com/certs/class1/sha2/pem/

P.S. Убедительная просьба к разработчикам - учтите этот момент в ближайшем релизе, т.к. Хром уже начинает "выпендриваться", а в следующем году вообще подобные сайты будет обрабатывать как небезопасные.

[skurudo]

P.S. Убедительная просьба к разработчикам - учтите этот момент в ближайшем релизе, т.к. Хром уже начинает "выпендриваться", а в следующем году вообще подобные сайты будет обрабатывать как небезопасные.

Хорошая заметка, спасибо! :)
Насчет массового добавления - нужно обдумать. Просто изначально сертификат никто толком не даст, т.е. нормальный сертификат все равно нужно будет получать где-то и подключать как-то (руками по всей видимости). Стоит ли при этом усложнять - вопрос, конечно.

[head]

Насчет массового добавления - нужно обдумать. Просто изначально сертификат никто толком не даст, т.е. нормальный сертификат все равно нужно будет получать где-то и подключать как-то (руками по всей видимости). Стоит ли при этом усложнять - вопрос, конечно.

Мы возможно друг друга не поняли :)
StartSSL совершенно замечательно раздает бесплатные SHA2 сертификаты на год.
И в панель они ставятся на ура штатными средствами, только для StartSSL надо брать Intermediate SHA2.
Чей бы ни был сертификат, и какой бы он ни был, есть еще и настройка nginx на устаревшее шифрование RC4,

Вот о ней я и прошу вас позаботиться .Т.е. выпилить RC4 под корень, иначе хрому не будет нравиться даже самый распи... валидный сертификат :)

[skurudo]

Мы возможно друг друга не поняли :) StartSSL совершенно замечательно раздает бесплатные SHA2 сертификаты на год. И в панель они ставятся на ура штатными средствами, только для StartSSL надо брать Intermediate SHA2.Чей бы ни был сертификат, и какой бы он ни был, есть еще и настройка nginx на устаревшее шифрование RC4,Вот о ней я и прошу вас позаботиться .Т.е. выпилить RC4 под корень, иначе хрому не будет нравиться даже самый распи... валидный сертификат :)

Да, это понятно как раз. :)

[head]

Да, это понятно как раз. :)

А что вы имели в виду под массовым добавлением и что вызывает сомнения, если не секрет? Тот сертификат, который генерируется панелью для своих нужд при установке? С ним да, есть над чем подумать.

[skurudo]

Да, это понятно как раз. :)

А что вы имели в виду под массовым добавлением и что вызывает сомнения, если не секрет? Тот сертификат, который генерируется панелью для своих нужд при установке? С ним да, есть над чем подумать.

Да, на первоначальных этапах от самоподписанных сертификатов сложновато избавиться и при этом подружиться с браузерами. Будет предупреждение :(

[head]

Да, на первоначальных этапах от самоподписанных сертификатов сложновато избавиться и при этом подружиться с браузерами. Будет предупреждение :(

Самоподписанные сертификаты и раньше браузерами принимались "в штыки", хотя сейчас хром конечно их блокирует вообще нещадно. Но это известная проблема и решений у нее ровно два, как и было раньше - добавить имеющийся сертификат в доверенные или поставить полноценный.

А если вам удастся сгенерить самоподписанный доверенный сертификат при установке, то вы нашли в SSL дыру размером с Антарктиду. :D

[skurudo]

А если вам удастся сгенерить самоподписанный доверенный сертификат при установке, то вы нашли в SSL дыру размером с Антарктиду. :D

Больше смотрел в сторону возможности получения сертификата реального через api, но бесплатные вроде как такого не дают делать.

[head]

Больше смотрел в сторону возможности получения сертификата реального через api, но бесплатные вроде как такого не дают делать.

Да и платные вам вряд ли дадут такую свободу действий - генерить сертификат на произвольный домен.
cpanel и прочие тоже ставятся с самопальными, ибо иного не дано :)
Так что правьте конфиги, а на сами сертификаты забейте.
Разве что где-нибудь в панели сделайте возможность легко скачать этот самопальный сертификат и краткую памятку как его сделать доверенным.

[ego]

Здравствуйте.
Держу на сервере(1 ip) несколько сайтов под разными пользователями:
http://first.ru
http://second.ru
httpS://third.ru
Последний, имеет прописанный в Vesta сертификат, включено перенаправление с http на https при помощи

.htaccessShow

RewriteCond %{HTTP_HOST} ^www\.(.+) [NC]
RewriteRule .* https://%1/$0 [L,R=302]

Недавно оказалось что если пользователь зайдет на httpS://first.ru или httpS://second.ru, то он увидит содержимое домена third.ru

Как мне исправить данную ситуацию?

Конфиг у всех один:
Шаблон Web: basedir
Шаблон Proxy: force-https (попробовал сегодня, до этого стоял default)
Шаблон DNS: default