[Vascom 0]

Браузер Chrome показывает, что подключение к сайту не защищено.

Как я понимаю, это реклама грузится по HTTP. Нельзя ли её тоже перевести на HTTPS?

[denyslb 0]

Я об этом тоже писал админам:

Проблема в том, что это позволит загрузить всякой неблаговидный контент с помощью MiTM. Тот же билайн этим пользовался в 2014: https://habr.com/post/230921/

[admin 0]

вроде поправили ads.electronix.ru
как сейчас?

[GeorgK 1]

Лиса теперь показывает зелёный замок (полная защита), до того был жёлтый.

[Vascom 0]

Да, теперь всё отлично, спасибо.

Тему можно закрывать

[shodan_x 0]

Проблема с Mixed content - да ушла, но в свете актуальных рекомендаций, советую сгенерировать DH:

Quote

openssl dhparam -out /путь до файла/dh.pem 4096

 

и прописать ее в Nginx

Quote

ssl_dhparam /путь до файла/dh.pem;

 

Так-же в соответствии с рекомендациями Comodo неплохо-бы поставить актуальные шифры:

Quote

 # intermediate configuration.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

Это понизит проблемность в плане совместимости с браузерами, повысит безопасность, ну и даст красивый рейтинг по тесту Qualys, а то рейтинг "grade B" как-то совсем не подстать такому клевому форуму :) 

 

Так-же неплохо-бы разрешить протокол HTTP2 если ваш Nginx с ним скомпилирован, это значительно сократит затраты браузеров на установки тонн SSL соединений. Можно на эту тему ознакомится тут. Причем замечу, что нжинкс включенный с хттп2, так-же остается совместим с хттп1.1 и со старыми браузерами проблем не возникает.

Изменено 23 октября, 2018 пользователем shodan_x

[Vascom 0]

И TLSv1.3 :)
И обязательно включить HSTS.

[shodan_x 0]

5 minutes ago, Vascom said:

И обязательно включить HSTS.

Ой я бы не советовал, такое решение принимается только после очень активного осмысления и четкого понимания что, зачем, и куда, а то неровен час можно разорится на сертификатах поддоменов, ибо отключить HSTS потом ой как сложно...

Изменено 23 октября, 2018 пользователем shodan_x

[Vascom 0]

Да? Ну возможно, не знаю.

Зато HSTS даёт рейтинг A+.

 

А сертификатов бесплатных от LE сколько угодно.

[shodan_x 0]

3 minutes ago, Vascom said:

А сертификатов бесплатных от LE сколько угодно.

Это без-порно :) но от LE сертификатов некоторые админы плюются, т.к. RENEW сertbot-ом порой срабатывает с костылями. :)

LE серты, ну это скажем так... по вкусу... да и нет железной гарантии что их не закроют как всякие startssl.

Изменено 23 октября, 2018 пользователем shodan_x

[Vascom 0]

LE не закроют.

И даже если закроют - никто не мешает вернуться к платным сертификатам.

[x893 33]

Сертификаты Comodo на 3 месяца дает без пробоем

[shodan_x 0]

3 hours ago, Vascom said:

LE не закроют.

ну не сказал-бы... вон, у Симантеков чуть-ли не миллион сертов(цифры разнятся по разным источникам то 50т до 0.7млн.) закрывали за раз по прихоти гугла, а LE и подавно могут.

Изменено 25 октября, 2018 пользователем shodan_x

[Vascom 0]

Симантеки как раз из-за своей корпоративности, неконтролируемости и погорели.

А LE - активно поддерживается гуглом, файрфоксом и не станут чудить, чтобы их закрыли.

[shodan_x 0]

Ок, пойду поставлю свечку за LE. Но таки когда очередной магаз. попросит меня порекомендовать серт, моя рекомендация останется без изменений - Покупайте thawte/comodo/etc.