私は次の設定をしました:
Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]
これで、一部のサイトはHTTPSおよび有効なSSL証明書を介してのみ到達可能になるはずです。これらのいくつかの例外については、nginx(推奨またはApache)のいずれかでHSTSをアクティブ化したいと思います。
問題:
if Host = foo.tld
のロジックが必要です。次にStrict-Transport-Security xxx
を設定しますが、 http://wiki.nginx.org/IfIsEvil によると、if
は使用しないでください。 location
でif X-Forwarded-Proto 443 set Strict-Transport-Security xxx
のようなものが必要ですが、SetEnvIf
(Apache 2.2)でこれを構築できないようです。私の論理に欠陥がありますか?アプローチの別のアイデア?
これは現在アクティブな構成です。
nginx
server { server_tokens off; listen xx.xx.xxx.xxx:80; server_name localhost; 場所/{ proxy_passhttp://127.0.0.1:81; proxy_set_headerX-Real-IP $ remote_addr; proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for ; proxy_set_header X-Forwarded-Proto $ scheme; proxy_set_header X-Forwarded-Port 80; proxy_set_header Host $ Host; add_header X-XSS-Protection " 1; mode = block "; } } server { server_tokens off; listen xx.xx.xxx.xxx:443 ssl; server_name localhost; ssl on; ssl_certificate /etc/ssl/foo.crt; ssl_certificate_key/etc/ssl/private/foo.key; ssl_session_timeout10m; [.__ __。]#http://blog.ivanristic.com/2013/08/configuring-Apache-nginx-and-openssl-for-forward-secrecy.html ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "EECDH + ECCSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EEC EDH + aRSA RC4!aNULL!eNULL!LOW!3DES!MD5!EXP!PSK!SRP!DSS "; 場所/{ proxy_passhttp://127.0.0.1 :81; proxy_set_header X-Real-IP $ remote_addr; proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $ schema; proxy_set_header X-Forwarded-Port 443; proxy_set_header Host $ Host; add_header X-XSS-Protection "1;モード=ブロック "; } }
ワニス
特別な構成はありません。
Apache
<VirtualHost *:82>
[...] nothing special
</VirtualHost>
複数のサーバーブロックを使用できます。したがって、HSTSを必要とするドメイン用に新しいサーバーブロックを追加するだけです。
server {
listen xx.xx.xxx.xxx:443 ssl default_server;
# all ssl stuff
# and other directives
}
server {
listen xx.xx.xxx.xxx:443 ssl;
server_name example.com other.example.com;
# all ssl stuff
# and other directives with HSTS enabled
}
ここで、最初のブロックはexample.com
とother.example.com
を除くすべてのhttps接続を処理します。
また、ssl
にlisten
フラグがある場合は、ssl on
ディレクティブは必要ありません。
[〜#〜]編集[〜#〜]
サーバーブロックが1つだけの別のソリューションがあります。
map $scheme:$Host $hsts_header {
default "";
https:example.com "max-age=31536000";
https:other.example.com "max-age=31536000";
}
server {
server_tokens off;
listen xx.xx.xxx.xxx:80;
listen xx.xx.xxx.xxx:443 ssl;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_session_timeout 10m;
# ... other ssl stuff
location / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header Host $Host;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security $hsts_header;
}
}
map
を使用してHSTSヘッダー値を定義し、ファクトを使用します。これは、nginxが空の値のヘッダーを追加しないためです。