web-dev-qa-db-ja.com

Nginx / Apache:X-Forwarded-Protoがhttpsの場合にのみHSTSを設定します

私は次の設定をしました:

Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]

これで、一部のサイトはHTTPSおよび有効なSSL証明書を介してのみ到達可能になるはずです。これらのいくつかの例外については、nginx(推奨またはApache)のいずれかでHSTSをアクティブ化したいと思います。

問題:

  • Nginxでは、if Host = foo.tldのロジックが必要です。次にStrict-Transport-Security xxxを設定しますが、 http://wiki.nginx.org/IfIsEvil によると、ifは使用しないでください。 location
  • Apacheでは、if X-Forwarded-Proto 443 set Strict-Transport-Security xxxのようなものが必要ですが、SetEnvIf(Apache 2.2)でこれを構築できないようです。

私の論理に欠陥がありますか?アプローチの別のアイデア?

これは現在アクティブな構成です。

nginx

 server {
 server_tokens off; 
 
 listen xx.xx.xxx.xxx:80;
 server_name localhost; 
 
場所/{
proxy_passhttp://127.0.0.1:81;
proxy_set_headerX-Real-IP $ remote_addr; 
 proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for ; 
 proxy_set_header X-Forwarded-Proto $ scheme; 
 proxy_set_header X-Forwarded-Port 80; 
 proxy_set_header Host $ Host; 
 add_header X-XSS-Protection " 1; mode = block "; 
} 
} 
 
 server {
 server_tokens off; 
 
 listen xx.xx.xxx.xxx:443 ssl; 
 server_name localhost; 
 
 ssl on; 
 ssl_certificate /etc/ssl/foo.crt;
 ssl_certificate_key/etc/ssl/private/foo.key;

ssl_session_timeout10m; 
 [.__ __。]#http://blog.ivanristic.com/2013/08/configuring-Apache-nginx-and-openssl-for-forward-secrecy.html
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
 ssl_prefer_server_ciphers on; 
 ssl_ciphers "EECDH + ECCSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EEC EDH + aRSA RC4!aNULL!eNULL!LOW!3DES!MD5!EXP!PSK!SRP!DSS "; 
 
場所/{
proxy_passhttp://127.0.0.1 :81; 
 proxy_set_header X-Real-IP $ remote_addr; 
 proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; 
 proxy_set_header X-Forwarded-Proto $ schema; 
 proxy_set_header X-Forwarded-Port 443; 
 proxy_set_header Host $ Host; 
 add_header X-XSS-Protection "1;モード=ブロック "; 
} 
} 

ワニス

特別な構成はありません。

Apache

<VirtualHost *:82>
[...] nothing special
</VirtualHost>
5
weeheavy

複数のサーバーブロックを使用できます。したがって、HSTSを必要とするドメイン用に新しいサーバーブロックを追加するだけです。

server {
    listen xx.xx.xxx.xxx:443 ssl default_server;

    # all ssl stuff
    # and other directives
}

server {
    listen xx.xx.xxx.xxx:443 ssl;
    server_name example.com other.example.com;

    # all ssl stuff
    # and other directives with HSTS enabled
}

ここで、最初のブロックはexample.comother.example.comを除くすべてのhttps接続を処理します。

また、ssllistenフラグがある場合は、ssl onディレクティブは必要ありません。

[〜#〜]編集[〜#〜]

サーバーブロックが1つだけの別のソリューションがあります。

map $scheme:$Host $hsts_header {
    default "";
    https:example.com "max-age=31536000";
    https:other.example.com "max-age=31536000";
}

server {
    server_tokens off;

    listen xx.xx.xxx.xxx:80;
    listen xx.xx.xxx.xxx:443 ssl;

    ssl_certificate /etc/ssl/foo.crt;
    ssl_certificate_key /etc/ssl/private/foo.key;

    ssl_session_timeout 10m;

    # ... other ssl stuff

    location / {
        proxy_pass http://127.0.0.1:81;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
        proxy_set_header Host $Host;
        add_header X-XSS-Protection "1; mode=block";
        add_header Strict-Transport-Security $hsts_header;
    }
}

mapを使用してHSTSヘッダー値を定義し、ファクトを使用します。これは、nginxが空の値のヘッダーを追加しないためです。

5
Alexey Ten