É possível executar aplicativos HTTPS no mesmo host?
Por exemplo:
Back-end Python FastAPI na porta 8000 usando HTTPS.
JS React Front-End na porta 4000 usando HTTPS.
Funcionará sem um proxy TLS?
Li em um blog que um host pode ter apenas um certificado e apenas um aplicativo pode usar HTTPS.
Existem dois aplicativos A e B.
A é usado para autenticar usuários e passa um token para B, B adiciona um cookie.
Algo estranho acontece sempre que o cookie expira ou após um longo período de tempo ou uma reinicialização forçada do navegador.
SEM VIOLINO:
O usuário acessa o aplicativo A, insere as credenciais e é encaminhado para o aplicativo B. Imediatamente, por três segundos, o navegador exibe uma tela preta de erro "xxx demorou muito para responder", então a página padrão é renderizada "no local" e substitui o tela de erro logo depois. Isso ocorre quando o cookie expirou ou após um longo período de tempo.
COM VIOLINO: (VER SESSÕES 61, 71 e 83)
Quando executo o mesmo cenário no violinista, onde esperaria que a tela preta "xxx demorou muito para responder", recebo a tela de erro de certificado anexada com o ícone de cadeado aberto. Eu rejeito isso três vezes. Enquanto estou descartando os erros do túnel SSL, a página do usuário padrão está sendo renderizada.
A correlação ocorre quase ao mesmo tempo em que as caixas de diálogo de bloqueio no violino são o mesmo lugar em que recebo a tela preta de erro do navegador e o aplicativo parece estar carregando em segundo plano e, em seguida, é atualizado quando totalmente carregado.
Meu pensamento é que há uma solicitação https -> http sendo "parcialmente" bloqueada de A -> B, pois B é http apenas sem certificados. Os desenvolvedores me disseram que não conseguem encontrar uma solicitação https.
Portanto, não consigo descobrir de onde vem o túnel SSL (veja a captura de tela). Meus pensamentos são.
Os desenvolvedores perderam alguma coisa e uma das chamadas é http.
Um dispositivo de rede está tentando converter a chamada para https, embora não haja reescritas de URL no servidor IIS.
O que faria com que um "xxx demorou muito para responder" preto fosse renderizado enquanto a página padrão estava carregando? Parece um cenário em que a solicitação foi alterada antes de ser totalmente lida ou algo parecido.
Segui esta documentação , mas não consigo fazer com que minhas imagens sejam veiculadas com HTTPS.
Tenho o seguinte /etc/default/minioarquivo de configuração:
MINIO_ACCESS_KEY="admin"
MINIO_VOLUMES="/usr/local/share/minio/"
MINIO_OPTS="-C /etc/minio --address vps.ovh.net:443 --console-address :9001"
MINIO_SECRET_KEY="secret"
Se eu especificar outra porta como 9000 em vez de 443, desta vez funcionará, mas o arquivo será servido com HTTP:
http://vps.ovh.net:9000/images/product/e53b9fde-4df1-4e54-bef4-76cd8c97cdb2.jpg
Eu gerei os certificados em /etc/minio:
pwd
/etc/minio/certs
ll
rw------- 1 minio-user minio-user 1704 Feb 3 11:05 private.key
-rw-r--r-- 1 minio-user minio-user 5522 Feb 3 11:05 public.crt
Alguma idéia ou dica?
Conforme descrevi aqui no serverfault, meu suporte de web-hosters afirma o seguinte:
Eu apenas me pergunto, portanto, quero verificar como, por meio de qual tecnologia, um ISP pode permitir o carregamento de um site em certas partes do mundo, enquanto em outras partes os navegadores/clientes recebem um erro 403.
Se você quiser experimentar:
Criei um servidor apache virtual para hospedar um wordpress antigo, tudo correu bem até que tentei acessar a página pelo domínio no navegador.
Ao acessar o domínio no navegador ao invés de carregar a página ele está tentando pesquisar o domínio como uma busca no google.
Para corrigir temporariamente esse problema que descobri, escrevi http://domain-used.oldpara forçá-lo a redirecionar o navegador para esse URL em vez de pesquisá-lo no google.
No entanto, as pessoas estão sempre reclamando que precisam digitar a url completa (incluindo o http/https), alternar entre os navegadores continua fazendo o mesmo comportamento (pesquisar em vez de carregar).
No final, tive que reimplantar tudo com uma nova terminação de domínio que não é ".old".
Então, ".old" é uma limitação dos navegadores ou é um comportamento definido em algum RFC?
Quais são as diferenças nas alterações de fluxo para HTTP 1.1 e HTTP 2.0 para aplicativos Spring Boot?
Eu realmente não sei por que minha configuração do nginx não funciona para www.
Minha configuração é:
server {
listen 80;
server_name postimg.cz www.postimg.cz;
return 301 https://$server_name$request_uri;
}
server {
listen 443;
server_name postimg.cz;
# SSL Configuration
ssl_certificate /etc/letsencrypt/live/postimg.cz/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/postimg.cz/privkey.pem;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GC>
ssl_prefer_server_ciphers on;
# See https://hstspreload.org/ before uncommenting the line below.
# add_header Strict-Transport-Security "max-age=15768000; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header Content-Security-Policy "frame-ancestors 'self'";
add_header X-Frame-Options DENY;
add_header Referrer-Policy same-origin;
root /var/www/postimg.cz;
# Disable access to sensitive application files
location ~* (app|content|lib)/.*\.(po|php|lock|sql)$ {
return 404;
}
location ~* composer\.json|composer\.lock|.gitignore$ {
return 404;
}
location ~* /\.ht {
return 404;
}
# Image not found replacement
location ~* \.(jpe?g|png|gif|webp)$ {
log_not_found off;
error_page 404 /content/images/system/default/404.gif;
}
# CORS header (avoids font rendering issues)
location ~* \.(ttf|ttc|otf|eot|woff|woff2|font.css|css|js)$ {
add_header Access-Control-Allow-Origin "*";
}
# PHP front controller
location / {
index index.php;
try_files $uri $uri/ /index.php$is_args$query_string;
}
# Single PHP-entrypoint (disables direct access to .php files)
location ~* \.php$ {
internal;
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
}
}
Mas quando eu vou para http://www.postimg.cz ele não redireciona para https://postimg.cz por que isso? Você pode me ajudar com isso?
Servidor: Ubuntu Server 20.04
EDIT // Tentei também isso, também não funciona:
server {
listen 80;
server_name www.postimg.cz postimg.cz;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name www.postimg.cz;
ssl_certificate /etc/letsencrypt/live/www.postimg.cz/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.postimg.cz/privkey.pem;
return 301 https://postimg.cz$request_uri;
}
server {
listen 443 ssl;
server_name postimg.cz;
Quero servir vários sites no meu servidor. Cada site que eu suponho que seja encapsulado como compilação do docker, cada um tem seu próprio nginx, que escuta uma única porta
Eu tenho um site com hostname site1.com. O docker compose expõe a porta 81:
...
services:
web:
image: nginx
...
ports:
- '81:443'
...
...
E o cliente nginx (dentro do container) escuta tudo no 443 e tem todas as configurações ssl
server {
listen 443 ssl;
ssl_certificate /etc/letsencrypt/fullchain1.pem;
ssl_certificate_key /etc/letsencrypt/privkey1.pem;
# ...
# and everything else
}
E aqui está o host nginx, que está apenas passando da porta 80 para 81 de acordo com server_name:
server {
listen 80;
listen [::]:80;
server_name site1.com;
location / {
proxy_pass https://localhost:81;
}
}
Por enquanto está funcionando. Mas é inseguro. Então eu tento adicionar o encaminhamento 443.
server {
listen 443;
listen [::]:443;
server_name bederdinov.me;
location / {
proxy_pass https://localhost:81;
}
}
Nginx reinicia bem, mas quando vou para https://site1.comestou recebendo umERR_SSL_PROTOCOL_ERROR
Parece bastante óbvio - o host nginx está tentando atender a solicitação com ssl, mas apenas o cliente docker nginx sabe como fazê-lo
Como posso dizer ao host nginx, que ele não precisa fazer nada, mas apenas passar todo o trabalho para o cliente nginx? Ou talvez haja outro software de servidor que eu possa usar para esta tarefa?
[Eu postei essa pergunta erroneamente no stackoverflow]
No meu servidor debian buster eu tinha um haproxy funcionando perfeitamente (v1.8), que eu uso para gerenciar certificados para meus sites.
O haproxy escuta a porta 443 e passa as solicitações para um sistema verniz+apache.
Ao atualizar para o debian bullseye, o serviço haproxy (v2.2) não inicia mais, e o log diz:
haproxy[46308]: [ALERT] 048/004148 (46308) : parsing [/etc/haproxy/haproxy.cfg:46] : The 'reqadd' directive is not supported anymore since HAProxy 2.1. Use 'http-r
equest add-header' instead.
As linhas haproxy.cfg responsáveis por este comportamento são
frontend https
# Bind 443 with the generated letsencrypt cert.
bind *:443 ssl crt /etc/letsencrypt/live/qumran2/haproxy.pem
# set x-forward to https
reqadd X-Forwarded-Proto:\ https <-----------|
# set X-SSL in case of ssl_fc <- explained below
http-request set-header X-SSL %[ssl_fc]
# Select a Challenge
acl letsencrypt-acl path_beg /.well-known/acme-challenge/
# Use the challenge backend if the challenge is set
default_backend www-backend
Eu entendo que devo mudar a reqadd X-Forwarded-Proto:\ httpslinha, mas como?
Os documentos dizem:
http-request add-header <name> <fmt> [ { if | unless } <condition> ]
This appends an HTTP header field whose name is specified in <name> and
whose value is defined by <fmt> which follows the log-format rules (see
Custom Log Format in section 8.2.4). This is particularly useful to pass
connection-specific information to the server (e.g. the client's SSL
certificate), or to combine several headers into one. This rule is not
final, so it is possible to add other similar rules. Note that header
addition is performed immediately, so one rule might reuse the resulting
header from a previous rule.
Não consigo entender como devo escrever o equivalente http-request add-header...
no nginx.conf eu adicionei uma cláusula if para filtrar as conexões ssl baseadas no cn.
Por exemplo
map $ssl_client_s_dn $ssl_client_s_dn_cn {
default "";
~/CN=(?<CN>[^/]+) $CN;
}
server {
listen 80 default_server;
server_name nginx-server;
return 301 https://$server_name$request_uri;
listen 443 ssl;
listen [::]:443 ssl;
server_name nginx-server;
ssl_certificate /path/to/server/cert.pem
ssl_certificate_key /path/to/nginx-server/privatekey.pem
location / {
if ($ssl_client_s_dn_cn !~ "client") {
return 403;
}
root /usr/share/nginx/html;
index index.html index.htm;
}
}
Agora, na linha de comando, estou tentando enrolar fornecendo um certificado que possui um DN semelhante ao C=GB,ST=London,L=City,O=MyOrg,OU=myOU,CN=clienterro 403.
Tentei com outros certs também, independente do certificado DN/CN, notei que o Nginx retorna 403. Nos logs de acesso tentei logar o $ssl_client_s_dnvalor nos logs, mas vem em branco.
Peguei a referência de http://nginx.org/en/docs/http/ngx_http_ssl_module.html
O que estou perdendo aqui?
atualizar:
Se eu codificar o valor na função a seguir para retornar o cliente, ele funcionará bem:
map $ssl_client_s_dn $ssl_client_s_dn_cn {
default "client";
}
Percebo que o valor de ssl_client_s_dn pode estar em branco de acordo com os logs do nginx. Tem algo a ver com a ativação do módulo ngx_http_ssl_module?
Eu verifiquei $ nginx Vacho que o módulo está listado.
A saída é anexada em uma imagem
Não tenho certeza do que estou perdendo! Alguma ajuda por favor?
Obrigado, J.E.