我得到了以下设置:
Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]
现在某些网站只能通过 HTTPS 和有效的 SSL 证书访问。对于这几个例外,我想在 nginx(首选)或 Apache 上激活 HSTS。
问题:
- 在 nginx 上,我需要一些逻辑,例如
if Host = foo.tldthen setStrict-Transport-Security xxx,但根据http://wiki.nginx.org/IfIsEvil不应该if使用location - 在 Apache 上,我需要类似的东西
if X-Forwarded-Proto 443 set Strict-Transport-Security xxx,但我似乎无法使用SetEnvIf(Apache 2.2)来构建它
我的逻辑有缺陷吗?还有其他方法吗?
这是当前活动的配置:
nginx
服务器 {
服务器令牌关闭;
听 xx.xx.xxx.xxx:80;
服务器名称本地主机;
地点 / {
代理密码 http://127.0.0.1:81;
proxy_set_header X-真实IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded端口 80;
proxy_set_header 主机 $host;
add_header X-XSS-Protection "1; mode=block";
}
}
服务器 {
服务器令牌关闭;
听 xx.xx.xxx.xxx:443 ssl;
服务器名称本地主机;
ssl 开启;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_会话_超时10分钟;
#http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
ssl_协议 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers开启;
ssl_ciphers “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4!aNULL!eNULL!LOW!3DES!MD5!EXP!PSK!SRP!DSS”;
地点 / {
代理密码 http://127.0.0.1:81;
proxy_set_header X-真实IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port 443;
proxy_set_header 主机 $host;
add_header X-XSS-Protection "1; mode=block";
}
}
漆
沒有特殊配置。
阿帕奇
<VirtualHost *:82>
[...] nothing special
</VirtualHost>
答案1
您可以拥有多个服务器块。因此,只需为需要 HSTS 的域添加新的服务器块即可。
server {
listen xx.xx.xxx.xxx:443 ssl default_server;
# all ssl stuff
# and other directives
}
server {
listen xx.xx.xxx.xxx:443 ssl;
server_name example.com other.example.com;
# all ssl stuff
# and other directives with HSTS enabled
}
这里第一个块将处理除example.com和 之外的所有 https 连接other.example.com。
ssl on如果有ssl标志,则不需要指令listen。
编辑
还有另一种仅使用一个服务器块的解决方案:
map $scheme:$host $hsts_header {
default "";
https:example.com "max-age=31536000";
https:other.example.com "max-age=31536000";
}
server {
server_tokens off;
listen xx.xx.xxx.xxx:80;
listen xx.xx.xxx.xxx:443 ssl;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_session_timeout 10m;
# ... other ssl stuff
location / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header Host $host;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security $hsts_header;
}
}
我们用map它来定义 HSTS 标头值并使用事实,然后 nginx 不会添加具有空值的标头。
答案2
您还可以无条件添加 HSTS 标头。
事实上,只有在连接成功、通过 TLS 且没有证书警告的情况下,它才会生效。参见第 5.1 段RFC6797。