Рейтинг:0

Лучший способ принудительно использовать SSL-сертификат

флаг id

Когда браузер подключается к моему веб-сайту, вводя его полное доменное имя, соединение шифруется с использованием SSL-сертификата сайта.

Однако мне стало известно, что можно обойти SSL и инициировать незашифрованное соединение, введя IP-адрес балансировщика нагрузки (в этом случае вы получите сообщение об ошибке, говорящее о том, что оно не может быть зашифровано).

Ссылка ниже предполагает, что я мог бы решить эту проблему с помощью перенаправления.

Обратный прокси-сервер Apache, чтобы запросы браузера SSL для IP-адреса сервера перенаправлялись на полное доменное имя.

Это хорошая практика или я действительно должен привязывать сертификат к IP-адресу в дополнение к полному доменному имени?

флаг us
Rob
Я не совсем понимаю, в чем ваша проблема или неправильная конфигурация, но в целом считается лучшей практикой настроить ваш веб-сервер так, чтобы он не обслуживал какой-либо реальный контент через простой HTTP на порту 80, а использовал только порт 80 для перенаправления на https . Если у вас нет сертификата для IP-адреса, просто не делайте (создавайте) перенаправление на `https://` но на `https://www.example.com`, и все будет в порядке. Или вы можете рассматривать HTTP-запросы без (действительного) имени домена/хоста как ошибочные и просто отвечать подходящим ответом об ошибке.
Brandon Xavier avatar
флаг us
ИМХО, если у вас есть балансировщик нагрузки, он должен обрабатывать перенаправление с http на https. И если вы считаете соединения между балансировщиком нагрузки доверенными — вы можете пойти еще дальше и позволить балансировщику нагрузки обрабатывать всю обработку SSL и передавать трафик на веб-серверы в незашифрованном виде. Тогда вам нужно только поддерживать один сертификат на LB.
Huw Evans avatar
флаг id
@Rob Я знаю об этом и определенно не собирался ничего обслуживать через простой HTTP на порту 80. Проблема в том, что если вы поместите https:// он обслуживает страницу с ошибкой «не удалось зашифровать». Я не знаю, как это изменить.
Huw Evans avatar
флаг id
@BrandonXavier Да, он перенаправляет http на https, но только для полного доменного имени. На данный момент настройка такая, как вы описываете, хотя я рассматриваю сквозное шифрование как вариант.
Huw Evans avatar
флаг id
Для справки, это руководство, которому я следовал, чтобы настроить балансировщик нагрузки. https://docs.digitalocean.com/products/networking/load-balancers/how-to/ssl-termination/

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.