SSL auf Default Host von NGINX

Alles rund um sicherheitsrelevante Fragen und Probleme.
Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 04:20:22

Liebe Community,

Ich bin leider wieder mal am verzweifeln, ich nutze seit gestern die Zertifikate von Let's Encrypte.
Nun auf meinen sämtlichen subdomains funktionieren die tadellos ohne Zicken ...

Jedoch wenn ich in meinem "default" host wo auch meine Homepage zu finden ist anpassen möchte zickt nginx rum und lässt sich nicht mehr starten.
Ich arbeite mit Debian 8, Webserver etc. alles vorhanden. Bitte lieber Profi guck über die Config :[

Code: Alles auswählen

server {
	listen 80 default_server;
	listen [::]:80 default_server;

	# SSL configuration
	#
	listen 443 ssl default_server;
	listen [::]:443 ssl default_server;
	
	ssl    on;
	ssl_certificate    	/etc/letsencrypt/live/domain.de/cert.pem;
	ssl_certificate_key	/etc/letsencrypt/live/domain.de/privkey.pem;
	# Self signed certs generated by the ssl-cert package
	# Don't use them in a production server!
	#
	# include snippets/snakeoil.conf;

	root /var/www/html;

	# Add index.php to the list if you are using PHP
	index index.html index.htm index.nginx-debian.html index.php;

	server_name domain.de www.domain.de;

	location / {
		# First attempt to serve request as file, then
		# as directory, then fall back to displaying a 404.
		#try_files $uri $uri/ =404;
		try_files $uri $uri/ @rewrite;
	}

	# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
	#
	location ~ \.php$ {
		include snippets/fastcgi-php.conf;
		include /etc/nginx/fastcgi_params;
		fastcgi_pass unix:/var/run/php5-fpm.sock;
		fastcgi_read_timeout 300;
	}

	location ~ /\.ht {
	deny all;
	}
	# Hier sind die SEO URLs
	location @rewrite {
		rewrite ^/(forum/|team/|wcf/|bewegungen/|onlineliste/|benutzersuche/|mitgliederliste/|benachrichtigungen/|benachrichtigungs-einstellungen/|einstellungen/|verwaltung/|avatar/|signatur/|folgen/|blockierliste/|datenschutz/|impressum/|konversationen/|moderation/|schnellsuche/|abonennten/|news/|erstellen/|neu/|seiten/|bewerbung/|pillory-bans/|pillory-warnings/|notizen/|freunde/|kontakt/)?([^.]+)$ /$1index.php?$2 last;
	}
	#
}
Bin dir tausend Mal dankbar, wenn du so lieb wärst und mir dabei hilfst die Hauptdomain nun auch endlich zu verschlüsseln.

Vielen Dank im Vorraus.

Lg Lea

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 10:48:53

Jedoch wenn ich in meinem "default" host wo auch meine Homepage zu finden ist anpassen möchte zickt nginx rum und lässt sich nicht mehr starten.
Definiere "zicken".
Mir wäre es neu, dass ein Nginx vServer gleichzeitig auf HTTP und HTTPS lauschen kann. Also entscheide Dich.
Edit: Geht offenbar tatsächlich. Ist imho aber nicht unbedingt sinnvoll.
Es ist im Übrigen für die Sicherheit von HTTPS nicht unbedingt ausreichend, die Standardeinstellungen bezüglich HTTPS/TLS von Nginx zu nehmen.
Hier meine generische Konfig als Anstoß. Ich empfehle ansonsten die einschlägige Dokumentation.

Code: Alles auswählen

$ grep -vE '^#|^[[:blank:]]*$' /etc/nginx/conf.d/tls 
listen 443 ssl spdy;
ssl_dhparam /etc/nginx/conf.d/https-generic-2048.dh;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !RC4 !MD5 !EXP !PSK !SRP !DSS";
ssl_ecdh_curve secp384r1;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
ssl_stapling on;
ssl_stapling_verify on;
PS:
Ein redirect auf dem HTTP Server zur Abwärtskompatibilität mit HTTP Webbrowsern ist möglicherweise sinnvoll:

Code: Alles auswählen

$ cat /etc/nginx/conf.d/letsencrypt 
# Common ACME challenge web root and HTTPS redirection

listen 80;

location /.well-known {
    root /srv/http/letsencrypt;
}

location / {
    return 301 https://$host$request_uri;
}
Eingebunden sähe es dann so aus:

Code: Alles auswählen

server {
    include conf.d/letsencrypt;
    server_name  <host>;
}

server {
    include conf.d/tls;

    server_name  <host>;
    root /pfad/zum/root;
    access_log /var/log/nginx/<host>.acc combined;
    error_log /var/log/nginx/<host>.err warn;

    ssl_certificate /etc/letsencrypt/live/<host>/cert.pem;
    ssl_certificate_key /etc/letsencrypt/live/<host>/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/<host>/chain.pem;

    location / {
        index index.html;
    }

    <andere locations>
}

Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:14:41

Vielen Dank für deine Antwort!

*kopfgrübel*

Ehm, kannst du mir das bitte genauer erklären wie ich da dass ganze mit dem /etc/nginx/sites-available/default umgehen muss?
Ich habe leider von SSL praktisch keine Ahnung und wäre einer Anleitung von dir tausend Mal dankbar.

Bitte beachte auch meine include_php einstellungen, denn die sind wichtig damit alles funktioniert.

*lieb guck*

Liebe Grüsse
Lea

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 11:17:30

Okay, also mal langsam und eins nach dem anderen.
Dein erstes Problem scheint ja zu sein, dass Nginx mit der von dir geposteten Konfiguration nicht startet.
Hier wären zur Problemfindung zunächst die Logs hilfreich.

Code: Alles auswählen

systemctl status nginx.service
bzw.

Code: Alles auswählen

journalctl -au nginx.service --since=<uhrzeit__des_letzten_starts> --no-pager
Damit können wir dann weiter arbeiten. :wink:
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:23:42

Oke moment muss die Config aufspielen, wo der Fehler drin is.

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:27:50

Also dieser Command akzeptiert er nicht. ausser das ich: journalctl -xn eingeben reicht das auch?

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:30:14

Hab den Code falsch eingeben sorry -.-

Code: Alles auswählen

-- Subject: Unit nginx.service has begun shutting down
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit nginx.service has begun shutting down.
Jun 14 11:26:27 mail.mydomain.ch systemd[1]: Starting A high performance web server and a reverse proxy server..
-- Subject: Unit nginx.service has begun with start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit nginx.service has begun starting up.
Jun 14 11:26:27 mail.mydomain.ch nginx[11990]: nginx: [emerg] unexpected ";" in /etc/nginx/sites-enabled/default
Jun 14 11:26:27 mail.mydomain.ch nginx[11990]: nginx: configuration file /etc/nginx/nginx.conf test failed
Jun 14 11:26:27 mail.mydomain.ch systemd[1]: nginx.service: control process exited, code=exited status=1
Jun 14 11:26:27 mail.mydomain.ch systemd[1]: Failed to start A high performance web server and a reverse proxy s
-- Subject: Unit nginx.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Unit nginx.service has failed.
--
-- The result is failed.
Jun 14 11:26:27 mail.mydomain.ch systemd[1]: Unit nginx.service entered failed state.
root@mail:/etc/nginx/sites-available# service nginx restart
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.
root@mail:/etc/nginx/sites-available# journalctl -au nginx.service --since=11:28 --no-pager
-- Logs begin at Mit 2017-06-14 00:14:24 CEST, end at Mit 2017-06-14 11:28:07 CEST. --
Jun 14 11:28:07 mail.mydomain.ch systemd[1]: Starting A high performance web server and a reverse proxy server...
Jun 14 11:28:07 mail.mydomain.ch nginx[12001]: nginx: [emerg] unexpected ";" in /etc/nginx/sites-enabled/default:6
Jun 14 11:28:07 mail.mydomain.ch nginx[12001]: nginx: configuration file /etc/nginx/nginx.conf test failed
Jun 14 11:28:07 mail.mydomain.ch systemd[1]: nginx.service: control process exited, code=exited status=1
Jun 14 11:28:07 mail.mydomain.ch systemd[1]: Failed to start A high performance web server and a reverse proxy server.
Jun 14 11:28:07 mail.mydomain.ch systemd[1]: Unit nginx.service entered failed state.
Meine Config derzeit:

Code: Alles auswählen

server {
        server_name mydomain.ch www.mydomain.ch;
        listen 443 ssl;
        listen [::]:443 ssl;
        ssl on;
        ssl_certificate         /etc/letsencrypt/live/mydomain.ch/cert.pem;;
        ssl_certificate_key     /etc/letsencrypt/live/mydomain.ch/privkey.pem;
        # Einige Optionen nach Bettercrypto
        ssl_prefer_server_ciphers on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA25$
        add_header Strict-Transport-Security max-age=15768000;
        ssl_session_cache shared:SSL:5m;
        ssl_session_timeout 30m;
        client_max_body_size 0;
        root /var/www/html/;
        index index.html index.htm index.php;
        location / {
                try_files $uri $uri/ index.php;
        }
        }
        location ~ \.php$ {
                include snippets/fastcgi-php.conf;
                include /etc/nginx/fastcgi_params;
                fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_read_timeout 630;
        }
        # Können sensible Daten enthalten, Nginx verwertet sie nicht
        location ~ /\.ht {
                deny all;
        }
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
}
Zuletzt geändert von Leatrixa am 14.06.2017 11:36:09, insgesamt 1-mal geändert.

TomL

Re: SSL auf Default Host von NGINX

Beitrag von TomL » 14.06.2017 11:36:07

Ist das vielleicht der Fehler?

Code: Alles auswählen

    Jun 14 11:28:07 mail.mydomain.ch nginx[12001]: nginx: [emerg] unexpected ";" in /etc/nginx/sites-enabled/default:6
    Jun 14 11:28:07 mail.mydomain.ch nginx[12001]: nginx: configuration file /etc/nginx/nginx.conf test failed
Für das aktuelle Log ist normalerweise auch diese Variante ausreichend.. -b steht für "dieser Boot"

Code: Alles auswählen

journalctl -b -au nginx.service 
Zuletzt geändert von TomL am 14.06.2017 11:37:40, insgesamt 1-mal geändert.

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 11:36:27

Code: Alles auswählen

Jun 14 11:28:07 mail.mydomain.ch nginx[12001]: nginx: [emerg] unexpected ";" in /etc/nginx/sites-enabled/default:6
Das ist ja relativ eindeutig.
In der Konfigurationsdatei /etc/nginx/sites-enabled/default befindet sich laut Nginx ein Komma Semikolon, welches dort nicht hin gehört.
Bist du sicher, dass du die korrekte / aktuelle / vollständige Konfiguration gepostet hast. Dort sieht nämlich alles okay aus.
Guck mal in der o.g. Datei auf deinem Server, was da in Zeile 6 schief läuft.
Zuletzt geändert von rne am 14.06.2017 11:39:58, insgesamt 1-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:38:47

Oooh moment, ich sehe gerade das ich die falsche Config hochgeladen hab jetzt wo du es sagst.
Hatte da eben einen anderen Versuch noch gespeichert ups, augenblick ich korrigiere das mal, dann guck ich eben nochma.

TomL

Re: SSL auf Default Host von NGINX

Beitrag von TomL » 14.06.2017 11:39:17

ssl_certificate /etc/letsencrypt/live/mydomain.ch/cert.pem;;

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:45:02

Also die aktuelle Config ist hochgeladen, jetzt stimmt es mit dem dem ersten Beitrag.

Der Nginx startet mir ohne Fehlermeldung jedoch geht die Seite ladet nicht. Bzw. ist nicht erreichbar.

Wie meinst du das mit Zeile 6 rne?

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 11:51:54

Leatrixa hat geschrieben:Also die aktuelle Config ist hochgeladen, jetzt stimmt es mit dem dem ersten Beitrag.

Der Nginx startet mir ohne Fehlermeldung jedoch geht die Seite ladet nicht. Bzw. ist nicht erreichbar.
Dann entferne mal bitte die ersten beiden Zeilen der Konfiguration, die den Server auf HTTP lauschen lassen:

Code: Alles auswählen

   listen 80 default_server;
   listen [::]:80 default_server;
Leatrixa hat geschrieben: Wie meinst du das mit Zeile 6 rne?
Dies betraf deine eingängliche und offenbar nicht mehr aktuelle Konfiguration. Siehe auch den Beitrag von TomL.

PS:

Code: Alles auswählen

server {
   listen 80 default_server;
   listen [::]:80 default_server;
   server_name domain.de www.domain.de;

   return 301 https://$host$request_uri$is_args$args;
}

server {
   # SSL configuration
   #
   listen 443 ssl default_server;
   listen [::]:443 ssl default_server;
   
   ssl    on;
   ssl_certificate       /etc/letsencrypt/live/domain.de/cert.pem;
   ssl_certificate_key   /etc/letsencrypt/live/domain.de/privkey.pem;
   # Self signed certs generated by the ssl-cert package
   # Don't use them in a production server!
   #
   # include snippets/snakeoil.conf;

   root /var/www/html;

   # Add index.php to the list if you are using PHP
   index index.html index.htm index.nginx-debian.html index.php;

   server_name domain.de www.domain.de;

   location / {
      # First attempt to serve request as file, then
      # as directory, then fall back to displaying a 404.
      #try_files $uri $uri/ =404;
      try_files $uri $uri/ @rewrite;
   }

   # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
   #
   location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      include /etc/nginx/fastcgi_params;
      fastcgi_pass unix:/var/run/php5-fpm.sock;
      fastcgi_read_timeout 300;
   }

   location ~ /\.ht {
   deny all;
   }
   # Hier sind die SEO URLs
   location @rewrite {
      rewrite ^/(forum/|team/|wcf/|bewegungen/|onlineliste/|benutzersuche/|mitgliederliste/|benachrichtigungen/|benachrichtigungs-einstellungen/|einstellungen/|verwaltung/|avatar/|signatur/|folgen/|blockierliste/|datenschutz/|impressum/|konversationen/|moderation/|schnellsuche/|abonennten/|news/|erstellen/|neu/|seiten/|bewerbung/|pillory-bans/|pillory-warnings/|notizen/|freunde/|kontakt/)?([^.]+)$ /$1index.php?$2 last;
   }
   #
}
Zuletzt geändert von rne am 14.06.2017 11:54:41, insgesamt 1-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:54:23

Hab ich entfernt, nun geht er aber automatisch in ein anderes Verzeichnis und nicht mehr html ordner.

Rne guck bitte PN.

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 11:56:59

Also nach dem Browser Cache löschen, scheint es halbwegs zu funktionieren, denn die Verbindung ist nur teilweise sicher.

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 12:01:32

Aktuelle Config:

Wie du oben in ps gepostet hast:

Code: Alles auswählen

server {
   listen 80 default_server;
   listen [::]:80 default_server;
   server_name domain.de;

   return 301 https://$host$request_uri$is_args$args;
}

server {
   # SSL configuration
   #
   listen 443 ssl default_server;
   listen [::]:443 ssl default_server;
   
   ssl    on;
   ssl_certificate       /etc/letsencrypt/live/domain.ch/cert.pem;
   ssl_certificate_key   /etc/letsencrypt/live/domain.ch/privkey.pem;
   # Self signed certs generated by the ssl-cert package
   # Don't use them in a production server!
   #
   # include snippets/snakeoil.conf;

   root /var/www/html;

   # Add index.php to the list if you are using PHP
   index index.html index.htm index.nginx-debian.html index.php;

   server_name domain.ch;

   location / {
      # First attempt to serve request as file, then
      # as directory, then fall back to displaying a 404.
      #try_files $uri $uri/ =404;
      try_files $uri $uri/ @rewrite;
   }

   # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
   #
   location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      include /etc/nginx/fastcgi_params;
      fastcgi_pass unix:/var/run/php5-fpm.sock;
      fastcgi_read_timeout 300;
   }

   location ~ /\.ht {
   deny all;
   }
   # Hier sind die SEO URLs
   location @rewrite {
      rewrite ^/(forum/|team/|wcf/|bewegungen/|onlineliste/|benutzersuche/|mitgliederliste/|benachrichtigungen/|benachrichtigungs-einstellungen/|einstellungen/|verwaltung/|avatar/|signatur/|folgen/|blockierliste/|datenschutz/|impressum/|konversationen/|moderation/|schnellsuche/|abonennten/|news/|erstellen/|neu/|seiten/|bewerbung/|pillory-bans/|pillory-warnings/|notizen/|freunde/|kontakt/)?([^.]+)$ /$1index.php?$2 last;
   }
   #
}
Die Seite funktioniert, aber sie ist nur teilweise sicher und somit mit einem orangen ausrufezeichen.
Zuletzt geändert von Leatrixa am 14.06.2017 12:09:35, insgesamt 1-mal geändert.

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 12:05:42

Leatrixa hat geschrieben: Die Seite funktioniert, aber sie ist nur teilweise sicher und somit mit einem orangen ausrufezeichen.
Das liegt dann aber am HTML Inhalt der Seite selbst und ist kein Problem des Webservers.
→ Anderes Thema :wink:

PS: Schön, dass es funktioniert. Ich kann, wenn ich Zeit habe, eine detaillierte Erklärung der Konfiguration nachreichen.
PPS: Entferne mal zur Sicherheit gegen Bots & Spam die tatsächliche URL aus deinem Code-Block.
PPPS: Im HTML Code der Website habe ich folgendes gefunden, was wohl für die Mischinhaltswarnung verantwortlich sein dürfte:

Code: Alles auswählen

<img src="http://<deine_domain>/wcf/images/styleLogo-6a3a8820dd523bffc536c7586a40a61a2f232d1b.png" alt="" /></a>
Zuletzt geändert von rne am 14.06.2017 12:12:27, insgesamt 2-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 12:08:07

Html? Dieses Woltlab Forum ist PHP ? o.O

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 12:11:24

Leatrixa hat geschrieben:Html? Dieses Woltlab Forum ist PHP ? o.O
PHP ist eine serverseitige Skriptsprache zur Generierung von HTML. Was vom Webserver zurückgeliefert wird und im Webbrowser angezeigt wird ist HTML, nicht PHP. Davon bekommt der Anwender nichts mit.
Zuletzt geändert von rne am 14.06.2017 12:13:31, insgesamt 1-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 12:12:31

Aaaaah okay, und dies kann man fixen damit dies nicht mehr steht ?

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 14.06.2017 12:14:46

Leatrixa hat geschrieben:Aaaaah okay, und dies kann man fixen damit dies nicht mehr steht ?
Ja, ersetze im HTML / PHP Code das http:// durch https://.
Wahrscheinlich ist dies eine Einstellung in der Admin-Oberfläche der Forensoftware, wo du das Logo einstellen kannst.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 12:16:45

Habe gerade gegoogelt und der sagt mir das gleiche das werde ich gleich mal tun, es scheint schon richtig zu funktionieren.

Gib gleich nochma nen Feedback.

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 14.06.2017 12:21:04

Tatsächlich, yeeeeeeh!

Wooooow! Vielen herzlichen Dank für deine super Unterstützung Rne :]

Es zickt, zwar noch einbischen rum aber da werde ich wohl alle http stellen ersetzen müssen.
Manche stellen im Forum.

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSL auf Default Host von NGINX

Beitrag von rne » 15.06.2017 13:23:19

Nur der Vollständigkeit halber.
HTTPS macht die Seite per se noch nicht sicher. Deine aktuelle Konfiguration hat ein Rating von "B".
Da sollte nach Möglichkeit ein "A+" oder mindestens ein "A" stehen: https://www.ssllabs.com/ssltest/analyze ... <deine_url>
Entsprechende Konfigurationsoptionen habe ich am Anhang Anfang des Fadens bereits genannt.
Bei Rückfragen erläutere ich das Hardening gerne in einem neuen Faden.
Zuletzt geändert von rne am 15.06.2017 21:23:15, insgesamt 2-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Leatrixa
Beiträge: 46
Registriert: 01.04.2017 23:05:56

Re: SSL auf Default Host von NGINX

Beitrag von Leatrixa » 15.06.2017 20:50:19

Vielen Dank für deine Aufmerksamkeit, habe ich jetzt ebenfalls gesehen jedoch habe ich deine Anpassung der Config eingestellt, bzw. ist meine momentane Konfiguration.

Wie oder was fehlt denn noch damit es vernünftigt gesichert ist?

Lieben Dank für deine Aufmersame Hilfe.

Code: Alles auswählen

PS:

server {
   listen 80 default_server;
   listen [::]:80 default_server;
   server_name domain.de www.domain.de;

   return 301 https://$host$request_uri$is_args$args;
}

server {
   # SSL configuration
   #
   listen 443 ssl default_server;
   listen [::]:443 ssl default_server;
   
   ssl    on;
   ssl_certificate       /etc/letsencrypt/live/domain.de/cert.pem;
   ssl_certificate_key   /etc/letsencrypt/live/domain.de/privkey.pem;
   # Self signed certs generated by the ssl-cert package
   # Don't use them in a production server!
   #
   # include snippets/snakeoil.conf;

   root /var/www/html;

   # Add index.php to the list if you are using PHP
   index index.html index.htm index.nginx-debian.html index.php;

   server_name domain.de www.domain.de;

   location / {
      # First attempt to serve request as file, then
      # as directory, then fall back to displaying a 404.
      #try_files $uri $uri/ =404;
      try_files $uri $uri/ @rewrite;
   }

   # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
   #
   location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      include /etc/nginx/fastcgi_params;
      fastcgi_pass unix:/var/run/php5-fpm.sock;
      fastcgi_read_timeout 300;
   }

   location ~ /\.ht {
   deny all;
   }
   # Hier sind die SEO URLs
   location @rewrite {
      rewrite ^/(forum/|team/|wcf/|bewegungen/|onlineliste/|benutzersuche/|mitgliederliste/|benachrichtigungen/|benachrichtigungs-einstellungen/|einstellungen/|verwaltung/|avatar/|signatur/|folgen/|blockierliste/|datenschutz/|impressum/|konversationen/|moderation/|schnellsuche/|abonennten/|news/|erstellen/|neu/|seiten/|bewerbung/|pillory-bans/|pillory-warnings/|notizen/|freunde/|kontakt/)?([^.]+)$ /$1index.php?$2 last;
   }
   #
}

Antworten