Vesta Control Panel - Forum

Posted: **Mon May 04, 2015 11:03 pm**

rez0n wrote:Настроил SSL для сайта, получаю желтый значек в адресной строке "Однако это страница содержит другие ресурсы которые не являются безопасными".

Ввиду того, что Google решил плотно взяться за SHA1 и "изгнать" его из сети, всем, у кого сертификаты от StartSSL, рекомендую следующее:
1. Правим /usr/local/vesta/nginx/conf/nginx.conf

nginx.confShow

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

Альтернативный вариант, если игнорируем старые браузерыShow

ssl_ciphers 'AES128+EECDH:AES128+EDH';

2. Берем для Центр сертификации SSL / Intermediate сертификат с SHA2

StartSSL Class1 SHA2Show

3. Удаляем из хранилища сертификатов браузера старые сертификаты StartCom Class1.
4. Обновляем страницу, наслаждаемся результатом.
Как быть с посетителями применительно к п.3 - ума не приложу. Возможно "рассосётся само".

ИсточникиShow

Конфиг nginx: https://raymii.org/s/tutorials/Strong_S ... nginx.html
Сертификат: https://www.startssl.com/certs/class1/sha2/pem/

P.S. Убедительная просьба к разработчикам - учтите этот момент в ближайшем релизе, т.к. Хром уже начинает "выпендриваться", а в следующем году вообще подобные сайты будет обрабатывать как небезопасные.

Posted: **Tue May 05, 2015 9:13 am**

head wrote:P.S. Убедительная просьба к разработчикам - учтите этот момент в ближайшем релизе, т.к. Хром уже начинает "выпендриваться", а в следующем году вообще подобные сайты будет обрабатывать как небезопасные.

Хорошая заметка, спасибо! :)
Насчет массового добавления - нужно обдумать. Просто изначально сертификат никто толком не даст, т.е. нормальный сертификат все равно нужно будет получать где-то и подключать как-то (руками по всей видимости). Стоит ли при этом усложнять - вопрос, конечно.

Posted: **Tue May 05, 2015 3:35 pm**

skurudo wrote: Насчет массового добавления - нужно обдумать. Просто изначально сертификат никто толком не даст, т.е. нормальный сертификат все равно нужно будет получать где-то и подключать как-то (руками по всей видимости). Стоит ли при этом усложнять - вопрос, конечно.

Мы возможно друг друга не поняли :)
StartSSL совершенно замечательно раздает бесплатные SHA2 сертификаты на год.
И в панель они ставятся на ура штатными средствами, только для StartSSL надо брать Intermediate SHA2.
Чей бы ни был сертификат, и какой бы он ни был, есть еще и настройка nginx на устаревшее шифрование RC4,

Вот о ней я и прошу вас позаботиться .Т.е. выпилить RC4 под корень, иначе хрому не будет нравиться даже самый распи... валидный сертификат :)

Posted: **Tue May 05, 2015 3:58 pm**

head wrote:Мы возможно друг друга не поняли :) StartSSL совершенно замечательно раздает бесплатные SHA2 сертификаты на год. И в панель они ставятся на ура штатными средствами, только для StartSSL надо брать Intermediate SHA2.Чей бы ни был сертификат, и какой бы он ни был, есть еще и настройка nginx на устаревшее шифрование RC4,Вот о ней я и прошу вас позаботиться .Т.е. выпилить RC4 под корень, иначе хрому не будет нравиться даже самый распи... валидный сертификат :)

Да, это понятно как раз. :)

Posted: **Tue May 05, 2015 5:50 pm**

skurudo wrote:Да, это понятно как раз. :)

А что вы имели в виду под массовым добавлением и что вызывает сомнения, если не секрет? Тот сертификат, который генерируется панелью для своих нужд при установке? С ним да, есть над чем подумать.

Posted: **Tue May 05, 2015 6:34 pm**

head wrote:
skurudo wrote:Да, это понятно как раз. :)
А что вы имели в виду под массовым добавлением и что вызывает сомнения, если не секрет? Тот сертификат, который генерируется панелью для своих нужд при установке? С ним да, есть над чем подумать.

Да, на первоначальных этапах от самоподписанных сертификатов сложновато избавиться и при этом подружиться с браузерами. Будет предупреждение :(

Posted: **Tue May 05, 2015 6:50 pm**

skurudo wrote:Да, на первоначальных этапах от самоподписанных сертификатов сложновато избавиться и при этом подружиться с браузерами. Будет предупреждение :(

Самоподписанные сертификаты и раньше браузерами принимались "в штыки", хотя сейчас хром конечно их блокирует вообще нещадно. Но это известная проблема и решений у нее ровно два, как и было раньше - добавить имеющийся сертификат в доверенные или поставить полноценный.

А если вам удастся сгенерить самоподписанный доверенный сертификат при установке, то вы нашли в SSL дыру размером с Антарктиду. :D

Posted: **Tue May 05, 2015 7:32 pm**

head wrote: А если вам удастся сгенерить самоподписанный доверенный сертификат при установке, то вы нашли в SSL дыру размером с Антарктиду. :D

Больше смотрел в сторону возможности получения сертификата реального через api, но бесплатные вроде как такого не дают делать.

Posted: **Tue May 05, 2015 7:48 pm**

skurudo wrote:Больше смотрел в сторону возможности получения сертификата реального через api, но бесплатные вроде как такого не дают делать.

Да и платные вам вряд ли дадут такую свободу действий - генерить сертификат на произвольный домен.
cpanel и прочие тоже ставятся с самопальными, ибо иного не дано :)
Так что правьте конфиги, а на сами сертификаты забейте.
Разве что где-нибудь в панели сделайте возможность легко скачать этот самопальный сертификат и краткую памятку как его сделать доверенным.

Posted: **Fri Jun 26, 2015 7:51 am**

Здравствуйте.
Держу на сервере(1 ip) несколько сайтов под разными пользователями:
http://first.ru
http://second.ru
httpS://third.ru
Последний, имеет прописанный в Vesta сертификат, включено перенаправление с http на https при помощи

.htaccessShow

RewriteCond %{HTTP_HOST} ^www\.(.+) [NC]
RewriteRule .* https://%1/$0 [L,R=302]

Недавно оказалось что если пользователь зайдет на httpS://first.ru или httpS://second.ru, то он увидит содержимое домена third.ru

Как мне исправить данную ситуацию?

Конфиг у всех один:
Шаблон Web: basedir
Шаблон Proxy: force-https (попробовал сегодня, до этого стоял default)
Шаблон DNS: default

Vesta Control Panel - Forum

поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL

Re: поддержка SSL