Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Proteggere Nginx con HTTPS: Una Guida Passo-Passo

Scopri come proteggere il tuo web server Nginx con HTTPS in questa guida completa passo-passo. Trattiamo l'ottenimento di certificati SSL/TLS gratuiti da Let's Encrypt utilizzando Certbot, la configurazione di Nginx per connessioni crittografate e l'implementazione di misure di sicurezza essenziali come HSTS. Proteggi i tuoi dati, crea fiducia negli utenti e migliora la SEO con una configurazione HTTPS correttamente impostata.

72 visualizzazioni

Proteggere Nginx con HTTPS: Una Guida Passo-Passo

Nel panorama digitale odierno, la sicurezza è fondamentale. Abilitare HTTPS (Hypertext Transfer Protocol Secure) sul tuo server web Nginx non è più un'opzione; è un requisito fondamentale per proteggere i dati sensibili, creare fiducia negli utenti e migliorare il posizionamento del tuo sito web nei motori di ricerca. HTTPS crittografa la comunicazione tra il browser di un utente e il tuo server, prevenendo intercettazioni e garantendo l'integrità delle informazioni trasmesse.

Questa guida ti accompagnerà attraverso i passaggi essenziali per proteggere il tuo server Nginx con un certificato SSL/TLS, abilitando HTTPS. Tratteremo l'ottenimento di un certificato, la configurazione di Nginx per utilizzarlo e l'esecuzione di una verifica di base per assicurarsi che tutto funzioni correttamente. Al termine di questa guida, avrai una presenza web più sicura e affidabile.

1. Comprensione dei Certificati SSL/TLS

Prima di addentrarci nella configurazione, soffermiamoci brevemente su cosa siano i certificati SSL/TLS. Un certificato SSL/TLS è un certificato digitale che autentica l'identità di un sito web e abilita una connessione crittografata. Quando un browser si connette a un sito web utilizzando HTTPS, controlla il certificato del sito web per verificarne l'autenticità e stabilire un canale sicuro e crittografato.

Esistono diversi tipi di certificati, ma per la maggior parte dei siti web, un certificato con Validazione del Dominio (DV) è sufficiente. Questo tipo di certificato verifica che il richiedente controlli il nome di dominio, ma non esegue controlli approfonditi sull'organizzazione dietro il dominio.

2. Ottenere un Certificato SSL/TLS

Ci sono due modi principali per ottenere un certificato SSL/TLS per il tuo server Nginx:

  • Let's Encrypt (Gratuito e Automatizzato): Let's Encrypt è un'autorità di certificazione gratuita, automatizzata e aperta. È altamente raccomandato per la maggior parte degli utenti grazie alla sua facilità d'uso e convenienza. Puoi automatizzare il processo di ottenimento e rinnovo dei certificati utilizzando strumenti come Certbot.
  • Autorità di Certificazione Commerciali (A Pagamento): Puoi anche acquistare certificati da CA commerciali come Comodo, DigiCert o GoDaddy. Questi spesso offrono certificati con Validazione Estesa (EV) o Validazione dell'Organizzazione (OV), che forniscono un livello di fiducia più elevato ma comportano un costo e un processo di validazione più complesso.

In questa guida, ci concentreremo sull'uso di Let's Encrypt con Certbot, poiché è il metodo più accessibile e ampiamente adottato.

2.1 Installazione di Certbot

Certbot è un client che automatizza il processo di ottenimento e rinnovo dei certificati Let's Encrypt. Il processo di installazione varia leggermente a seconda del sistema operativo e della configurazione di Nginx.

Per Debian/Ubuntu:

sudo apt update
sudo apt install certbot python3-certbot-nginx

Per CentOS/RHEL/Fedora:

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

Nota Importante: Assicurati che Nginx sia in esecuzione e accessibile tramite il suo nome di dominio tramite HTTP prima di procedere. Certbot deve comunicare con il tuo server per verificare la proprietà del dominio.

2.2 Ottenere il Certificato con Certbot

Una volta installato Certbot, puoi usarlo per ottenere un certificato per il tuo dominio. Certbot può configurare automaticamente Nginx per te.

Naviga nella directory di configurazione di Nginx. Il percorso esatto potrebbe variare, ma è comunemente /etc/nginx/sites-available/.

Esegui il seguente comando, sostituendo your_domain.com e www.your_domain.com con i nomi dei tuoi domini effettivi:

sudo certbot --nginx -d your_domain.com -d www.your_domain.com

Certbot quindi:

  1. Chiederà il tuo indirizzo email: Questo viene utilizzato per importanti avvisi di rinnovo e notifiche di sicurezza.
  2. Ti chiederà di accettare i Termini di Servizio: Leggi e accetta.
  3. Chiederà se desideri condividere la tua email con l'EFF: Opzionale.
  4. Rileverà i tuoi virtual host Nginx esistenti: Elencherà i domini trovati.
  5. Chiederà come desideri gestire HTTPS: Avrai tipicamente due opzioni:
    • 1: Nessun reindirizzamento - Servi sia HTTP che HTTPS, ma non reindirizzare il traffico HTTP a HTTPS.
    • 2: Reindirizzamento - Reindirizza automaticamente tutto il traffico HTTP a HTTPS. Questa è l'opzione consigliata per la maggior parte degli utenti.

Scegli l'opzione 2 per una configurazione più sicura.

Se l'operazione ha successo, Certbot ti informerà che il tuo certificato è stato installato e imposterà il rinnovo automatico.

3. Verifica della Configurazione di Nginx

Dopo l'esecuzione di Certbot, esso modifica automaticamente i tuoi file di configurazione di Nginx per utilizzare il nuovo certificato SSL/TLS e imposta il reindirizzamento se hai scelto quell'opzione.

3.1 Controllo dei File di Configurazione di Nginx

Puoi esaminare il file di configurazione di Nginx per il tuo sito (ad esempio, /etc/nginx/sites-available/your_domain.com) per vedere le modifiche. Dovresti trovare direttive come:

server {
    listen 80;
    server_name your_domain.com www.your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # ... altre configurazioni per il tuo sito ...
}
  • Il primo blocco server ascolta sulla porta 80 (HTTP) e reindirizza tutte le richieste a HTTPS.
  • Il secondo blocco server ascolta sulla porta 443 (SSL/TLS) e specifica i percorsi del tuo certificato (ssl_certificate) e della chiave privata (ssl_certificate_key).
  • include /etc/letsencrypt/options-ssl-nginx.conf; include i parametri SSL consigliati per Nginx.
  • ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; viene utilizzato per lo scambio di parametri Diffie-Hellman, migliorando la sicurezza.

3.2 Test della Configurazione di Nginx

Prima di ricaricare Nginx, è fondamentale testare la configurazione per eventuali errori di sintassi:

sudo nginx -t

Se il test ha successo, vedrai un output simile a questo:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.3 Ricaricamento di Nginx

Una volta superato il test di configurazione, ricarica Nginx per applicare le modifiche:

sudo systemctl reload nginx

3.4 Verifica di HTTPS nel Browser

Apri il tuo browser web e naviga al tuo dominio utilizzando https://your_domain.com. Dovresti vedere un'icona a forma di lucchetto nella barra degli indirizzi, a indicare una connessione sicura. Cliccando sul lucchetto potrai spesso visualizzare dettagli sul certificato.

4. Rinnovo Automatico

I certificati Let's Encrypt sono validi per 90 giorni. Certbot configura automaticamente un servizio di sistema (solitamente un cron job o un timer systemd) per rinnovare i tuoi certificati prima che scadano. Puoi testare il processo di rinnovo senza effettivamente rinnovare il certificato eseguendo:

sudo certbot renew --dry-run

Questo comando simula il processo di rinnovo e ti avviserà di eventuali problemi.

5. Configurazione Avanzata SSL/TLS (Opzionale)

Sebbene Certbot gestisca gran parte della configurazione di base, potresti voler ottimizzare le tue impostazioni SSL/TLS per una maggiore sicurezza o prestazioni.

5.1 Versioni del Protocollo SSL

È buona norma disabilitare versioni obsolete e insicure dei protocolli SSL/TLS come SSLv2 e SSLv3, e anche TLSv1.0 e TLSv1.1. Browser e server moderni supportano TLSv1.2 e TLSv1.3.

Aggiungi o modifica la direttiva ssl_protocols nel tuo blocco server (all'interno della configurazione 443 ssl):

ssl_protocols TLSv1.2 TLSv1.3;

5.2 Cipher Suites

Le cipher suites determinano gli algoritmi di crittografia utilizzati per la connessione SSL/TLS. Puoi specificare le cipher suites preferite per garantire una crittografia robusta.

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Suggerimento: Puoi utilizzare strumenti online come Mozilla SSL Configuration Generator per generare impostazioni SSL consigliate su misura per le capacità del tuo server.

5.3 HSTS (HTTP Strict Transport Security)

HSTS è una funzionalità di sicurezza che obbliga i browser a interagire con il tuo sito web solo tramite HTTPS. Una volta che un browser ha visitato il tuo sito con HSTS abilitato, utilizzerà automaticamente HTTPS per tutte le visite future, anche se l'utente digita http:// o clicca su un link http://.

Per abilitare HSTS, aggiungi quanto segue al tuo blocco server che ascolta sulla porta 443:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • max-age=31536000: Imposta la durata per cui il browser deve ricordare di utilizzare solo HTTPS (31.536.000 secondi = 1 anno).
  • includeSubDomains: Applica la policy HSTS a tutti i sottodomini.

Attenzione: Abilita HSTS con cautela. Una volta impostato, può essere difficile annullare. Inizia con un valore max-age breve (ad esempio, 1 ora) durante il test. Assicurati che il tuo HTTPS funzioni perfettamente prima di impostare un max-age lungo.

6. Risoluzione dei Problemi Comuni

  • Certbot non riesce a verificare il dominio:
    • Assicurati che i record DNS del tuo dominio puntino correttamente all'indirizzo IP del tuo server.
    • Verifica che Nginx sia in esecuzione e accessibile tramite HTTP sulla porta 80.
    • Controlla le regole del firewall per assicurarti che la porta 80 sia aperta.
  • Nginx non riesce a ricaricare:
    • Esegui sudo nginx -t per identificare errori di sintassi nei tuoi file di configurazione.
    • Controlla i log degli errori di Nginx (/var/log/nginx/error.log).
  • Sito web non accessibile tramite HTTPS:
    • Assicurati che la porta 443 sia aperta nel tuo firewall.
    • Verifica che la direttiva listen 443 ssl; sia presente e corretta.
    • Controlla che i percorsi per ssl_certificate e ssl_certificate_key siano accurati.

Conclusione

Proteggere il tuo server Nginx con HTTPS è un passo cruciale per costruire una presenza online affidabile e sicura. Seguendo questa guida, hai imparato come ottenere e configurare certificati SSL/TLS, automatizzare i rinnovi e implementare miglioramenti di sicurezza di base. Rivedere regolarmente la tua configurazione SSL/TLS e mantenere aggiornato il software del tuo server sono pratiche essenziali per mantenere una sicurezza robusta.

L'implementazione di HTTPS è un passo significativo nella gestione moderna dei server web. Non solo protegge i dati dei tuoi utenti, ma influisce anche positivamente sulla reputazione del tuo sito e sulla visibilità nei motori di ricerca. Continua a esplorare configurazioni avanzate di Nginx e le migliori pratiche di sicurezza per migliorare ulteriormente le prestazioni e la resilienza del tuo server.