Acabei de atualizar meu servidor NGINX no Ubuntu para a última versão oficial 1.9.15.
Desde então, uma configuração que usei por um bom tempo parou de funcionar. Resumindo, redireciono todo o tráfego para https, exceto uma página, por exemplo, /minhapágina/, que precisa estar disponível via http devido a recursos externos.
É assim que minha configuração se parece.
server {
listen 12.34.56.78:80;
server_name www.myside.com;
root /home/myside.com/public_html;
index index.php;
location ~ \.php$ {
include fastcgi.conf;
fastcgi_intercept_errors on;
fastcgi_pass php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
location / {
return 301 https://www.myside.com$request_uri;
try_files $uri $uri/ /index.php?$args;
}
# but no redirect for this particular location:
location /mypage/ {
try_files $uri $uri/ /index.php?$args;
}
}
server {
listen 12.34.56.78:443 ssl http2 default_server;
ssl on;
ssl_certificate /etc/nginx/ssl/myside.com/cert.pem;
ssl_certificate_key /etc/nginx/ssl/myside.com/privkey.pem;
server_name www.myside.com myside.com;
root /home/myside.com/public_html;
index index.php;
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
include fastcgi.conf;
fastcgi_intercept_errors on;
fastcgi_pass php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
location /mypage/ {
return 301 http://$server_name$request_uri;
try_files $uri $uri/ /index.php?$args;
}
}
Infelizmente, agora está em loop http -> https -> http -> https e assim por diante.
Eu finalmente encontrei a solução. Isso aconteceu porque o Strict-Transport-Security foi ativado e a idade máxima foi definida para um ano.
Ao alterar essa linha para:
a idade máxima é definida como 0, o que equivale a deficientes.
Mais sobre isso https://datatracker.ietf.org/doc/html/draft-ietf-websec-strict-transport-sec-11#section-6.1.1