Информация

Дата основания
1999
Местоположение
Россия
Сайт
www.1c-bitrix.ru
Численность
201–500 человек
Дата регистрации

Блог на Хабре

Обновить
Комментарии 26
Про spdy:
Этот модуль был заменён модулем ngx_http_v2_module в версии 1.9.5.
Никогда не оставляйте файлы без пользователей группы
Поясните, пожалуйста, эту фразу.
При использовании spdy год назад периодически отваливались соединения, с http2 сейчас все надежнее, только не забудьте собрать nginx c openssl1.0.2+ иначе хром не будет использовать прелести http2.
Конечно это только моё мнение, оно может быть ошибочным, но лучше писать что-то типа:

ssl_ciphers ALL:!aNULL:!eNULL:!RC4:!EXPORT:!DES:!PSK:!LOW;

вместо длинной портянки.
Следующее, на что нужно обратить внимание, — это механизм HSTS. Чтобы установить заголовок Strict Transport Security, нам необходимо перекомпилировать NGINX вместе с модулем HTTP header.

"Мы" до этого целенаправленно компилировали с отключением ngx_http_headers_module? Я даже не знаю, это вообще законно?

Что именно незаконно?
Отдавать HSTS заголовок клиенту?

Или перекомпилировать nginx?

Где-то умер сарказм. Теперь серьезно, в стандартную поставку nginx входит модуль ngx_http_headers_module, и чтобы его отключить надо перекомпилировать с отключением этого модуля. Вот мне интересно и интересно где это может пригодиться?

Нельзя его отключить без правки исходников. Или собрать nginx вообще без поддержки http.

SSL-сертификат — это криптографический протокол — это пррелестно.

странная статья — сначала рассказываем как получить оценку A+, а в конце — почему она не нужна и вредна ;)

Куча ошибок в статье, не рекомендую бездумно копипастить конфиги и команды из нее…
Сгодится только как научно-популярная обзорка…

Позволю себе повторить и дополнить уже вышеоткоментированное:
— SPDY все, HTTP/2 наше все
— Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
— есть еще WoSign как раздатчик бесплатных сертификатов — со своими нюансами конечно
— текст про старый набор шифров, иллюстрация про DH 1024
— SPDY не для ускорения SSL
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним

А как это сделать, поделитесь пожалуйста.
Качаем исходники openssl https://www.openssl.org/source/openssl-1.0.2h.tar.gz
при сборке nginx указываем, что надо собирать с конкретной версией:

configure --with-openssl=/root/openssl-1.0.2h

У nginx есть src.rpm родные. https://nginx.org/packages/mainline/centos/6/SRPMS/
можно их использовать для сборки
Да что уж мелочиться, качать так openssl-1.1.0.
Все еще есть проблемы есть при сборке nginx с openssl-1.1.0

я плотно не вникал, но видел, что какой-то из патчей для работы с 1.1.0 будет в следующем релизе nginx 1.11.4
имхо рано еще в продакшен
У меня собрался без особых проблем на 1.11.3.
Теперь и chacha20-poly1305 жужжит что приятно.
image
Дада, было такое дело :)
Но патч был написан небольшой)
Да ещё проще — типа
certbot renew && service www restart
Верно.
Кроме того, оценку A+ можно получить и с настройками intermediate от Mozilla SSL Configuration Center безо всяких HTTP/2.
Только «Битрикс», ввиду своих компетенций, об этом не знает.
И по поводу WoSign — бойтесь китайцев дары приносящих :-)
http://www.opennet.ru/opennews/art.shtml?num=45049
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход

Plesk сам умеет автоматически продлевать сертификаты LetsEncrypt. К сожалению, автор упустил этот момент.
«Битрикс» открыл для себя Qualys SSL labs test и Mozilla SSL Configuration Center.
Что ж, лучше поздно, чем никогда.
Обычно ставят 8888. Это Гугловский public DNS, но если у вас есть свой DNS на сервере, то я бы рекомендовал поставить localhost.

Это здорово, рассказывать в статье про A+ и при этом упоминать настройку, которая может привести к спуфингу. Рекомендации тут мало.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.