Nginx / Apache: configure o HSTS apenas se o X-Forwarded-Proto for https

Question

Nginx / Apache: configure o HSTS apenas se o X-Forwarded-Proto for https

#1 resposta do (4 votos)
#2 resposta do (-1 votos)

4

Eu tenho a seguinte configuração:

Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]

Agora, alguns sites só devem ser acessados via HTTPS e um certificado SSL válido. Para essas poucas exceções eu gostaria de ativar o HSTS, seja no nginx (preferencial ou no Apache).

O problema:

No nginx, precisaria de uma lógica à la if Host = foo.tld , em seguida, defina Strict-Transport-Security xxx , mas de acordo com o link não deve usar if em location
No Apache, eu precisaria de algo como if X-Forwarded-Proto 443 set Strict-Transport-Security xxx , mas parece que não consigo construir isso com SetEnvIf (Apache 2.2)

Minha lógica é falha? Outra ideia para uma abordagem?

Esta é a configuração atualmente ativa:

nginx

server {
        server_tokens off;

        listen xx.xx.xxx.xxx:80;
        server_name localhost;

        location / {
                proxy_pass http://127.0.0.1:81;
                proxy_set_header X-Real-IP  $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port 80;
                proxy_set_header Host $host;
                add_header X-XSS-Protection "1; mode=block";
        }
}

server {
        server_tokens off;

        listen xx.xx.xxx.xxx:443 ssl;
        server_name localhost;

        ssl on;
        ssl_certificate /etc/ssl/foo.crt;
        ssl_certificate_key /etc/ssl/private/foo.key;

        ssl_session_timeout 10m;

        # http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

        location / {
                proxy_pass http://127.0.0.1:81;
                proxy_set_header X-Real-IP  $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port 443;
                proxy_set_header Host $host;
                add_header X-XSS-Protection "1; mode=block";
        }
}

Verniz

Nenhuma configuração especial.

Apache

<VirtualHost *:82>
[...] nothing special
</VirtualHost>

ssl nginx apache-2.2 http-headers

por weeheavy 22.09.2014 / 22:31

2 respostas

-1

Você também pode adicionar o cabeçalho HSTS incondicionalmente.

Na verdade, isso só terá efeito se a conexão for bem-sucedida, por TLS e sem aviso de certificação. Cf parágrafo 5.1 de RFC6797 .

por 11.09.2015 / 00:07

Tags ssl nginx apache-2.2 http-headers

Agendador de Tarefas do Windows - código de resultado 0xC000005 Como determinar se um patch do Windows é realmente necessário?

score 4 · Accepted Answer

Você pode ter vários blocos de servidores. Então, basta adicionar um novo bloco de servidor para domínios que precisem de HSTS.

server {
    listen xx.xx.xxx.xxx:443 ssl default_server;

    # all ssl stuff
    # and other directives
}

server {
    listen xx.xx.xxx.xxx:443 ssl;
    server_name example.com other.example.com;

    # all ssl stuff
    # and other directives with HSTS enabled
}

Aqui, o primeiro bloco tratará de todas as conexões https, exceto example.com e other.example.com .

E você não precisa da diretiva ssl on se tiver ssl flag em listen .

EDITAR

Existe outra solução com apenas um bloco de servidor:

map $scheme:$host $hsts_header {
    default "";
    https:example.com "max-age=31536000";
    https:other.example.com "max-age=31536000";
}

server {
    server_tokens off;

    listen xx.xx.xxx.xxx:80;
    listen xx.xx.xxx.xxx:443 ssl;

    ssl_certificate /etc/ssl/foo.crt;
    ssl_certificate_key /etc/ssl/private/foo.key;

    ssl_session_timeout 10m;

    # ... other ssl stuff

    location / {
        proxy_pass http://127.0.0.1:81;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
        proxy_set_header Host $host;
        add_header X-XSS-Protection "1; mode=block";
        add_header Strict-Transport-Security $hsts_header;
    }
}

Usamos map para definir o valor do cabeçalho de HSTS e usamos o fato, do que nginx não adicionará cabeçalho com valor vazio.