Центр знаний DevOps
Центр знаний DevOps

Защита Nginx с помощью HTTPS: пошаговое руководство

Узнайте, как защитить ваш веб-сервер Nginx с помощью HTTPS в этом подробном пошаговом руководстве. Мы рассмотрим получение бесплатных SSL/TLS-сертификатов от Let's Encrypt с использованием Certbot, настройку Nginx для зашифрованных соединений и внедрение основных мер безопасности, таких как HSTS. Защитите свои данные, укрепите доверие пользователей и улучшите SEO с правильно настроенным HTTPS.

62 просмотров

Защита Nginx с помощью HTTPS: Пошаговое руководство

В современном цифровом мире безопасность имеет первостепенное значение. Включение HTTPS (Hypertext Transfer Protocol Secure) на вашем веб-сервере Nginx больше не является необязательным; это фундаментальное требование для защиты конфиденциальных данных, укрепления доверия пользователей и улучшения рейтинга вашего сайта в поисковых системах. HTTPS шифрует связь между браузером пользователя и вашим сервером, предотвращая прослушивание и обеспечивая целостность передаваемой информации.

Это руководство проведет вас через основные шаги по защите вашего сервера Nginx с помощью SSL/TLS-сертификата, включив HTTPS. Мы рассмотрим получение сертификата, настройку Nginx для его использования и выполнение базовой проверки, чтобы убедиться, что все работает правильно. К концу этого руководства у вас будет более безопасное и надежное присутствие в Интернете.

1. Понимание SSL/TLS-сертификатов

Прежде чем перейти к настройке, давайте кратко коснемся того, что такое SSL/TLS-сертификаты. SSL/TLS-сертификат — это цифровой сертификат, который аутентифицирует личность веб-сайта и обеспечивает зашифрованное соединение. Когда браузер подключается к веб-сайту, использующему HTTPS, он проверяет сертификат веб-сайта, чтобы подтвердить его подлинность и установить безопасный зашифрованный канал.

Существует несколько типов сертификатов, но для большинства веб-сайтов достаточно сертификата, подтвержденного доменом (DV). Этот тип сертификата подтверждает, что заявитель контролирует доменное имя, но не проводит обширных проверок организации, стоящей за доменом.

2. Получение SSL/TLS-сертификата

Существует два основных способа получения SSL/TLS-сертификата для вашего сервера Nginx:

  • Let's Encrypt (бесплатно и автоматизированно): Let's Encrypt — это бесплатный, автоматизированный и открытый центр сертификации. Он настоятельно рекомендуется большинству пользователей из-за простоты использования и экономической эффективности. Вы можете автоматизировать процесс получения и продления сертификатов с помощью таких инструментов, как Certbot.
  • Коммерческие центры сертификации (платно): Вы также можете приобрести сертификаты у коммерческих центров сертификации, таких как Comodo, DigiCert или GoDaddy. Они часто предлагают сертификаты Extended Validation (EV) или Organization Validation (OV), которые обеспечивают более высокий уровень доверия, но требуют затрат и более сложного процесса проверки.

В этом руководстве мы сосредоточимся на использовании Let's Encrypt с Certbot, поскольку это наиболее доступный и широко используемый метод.

2.1 Установка Certbot

Certbot — это клиент, который автоматизирует процесс получения и продления сертификатов Let's Encrypt. Процесс установки немного отличается в зависимости от вашей операционной системы и конфигурации Nginx.

Для Debian/Ubuntu:

sudo apt update
sudo apt install certbot python3-certbot-nginx

Для CentOS/RHEL/Fedora:

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

Важное примечание: Убедитесь, что ваш Nginx запущен и доступен через его доменное имя по HTTP, прежде чем продолжить. Certbot должен связаться с вашим сервером для проверки владения доменом.

2.2 Получение сертификата с помощью Certbot

После установки Certbot вы можете использовать его для получения сертификата для вашего домена. Certbot может автоматически настроить Nginx для вас.

Перейдите в каталог конфигурации Nginx. Точный путь может варьироваться, но обычно это /etc/nginx/sites-available/.

Выполните следующую команду, заменив your_domain.com и www.your_domain.com на ваши фактические доменные имена:

sudo certbot --nginx -d your_domain.com -d www.your_domain.com

Затем Certbot:

  1. Запросит ваш адрес электронной почты: Он используется для важных уведомлений о продлении и предупреждений о безопасности.
  2. Попросит вас согласиться с Условиями обслуживания: Прочтите и согласитесь.
  3. Спросит, хотите ли вы поделиться своим адресом электронной почты с EFF: Необязательно.
  4. Обнаружит существующие виртуальные хосты Nginx: Он перечислит найденные домены.
  5. Спросит, как вы хотите обрабатывать HTTPS: Обычно у вас будет два варианта:
    • 1: Без перенаправления — обслуживать как HTTP, так и HTTPS, но не перенаправлять HTTP-трафик на HTTPS.
    • 2: Перенаправление — автоматически перенаправлять весь HTTP-трафик на HTTPS. Это рекомендуемый вариант для большинства пользователей.

Выберите вариант 2 для более безопасной настройки.

В случае успеха Certbot сообщит вам, что ваш сертификат установлен, и настроит автоматическое продление.

3. Проверка конфигурации Nginx

После выполнения Certbot он автоматически изменяет ваши файлы конфигурации Nginx для использования нового SSL/TLS-сертификата и настраивает перенаправление, если вы выбрали этот вариант.

3.1 Проверка файлов конфигурации Nginx

Вы можете изучить файл конфигурации Nginx для вашего сайта (например, /etc/nginx/sites-available/your_domain.com), чтобы увидеть изменения. Вы должны найти директивы, такие как:

server {
    listen 80;
    server_name your_domain.com www.your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # ... другие конфигурации для вашего сайта ...
}
  • Первый блок server прослушивает порт 80 (HTTP) и перенаправляет все запросы на HTTPS.
  • Второй блок server прослушивает порт 443 (SSL/TLS) и указывает пути к вашему сертификату (ssl_certificate) и закрытому ключу (ssl_certificate_key).
  • include /etc/letsencrypt/options-ssl-nginx.conf; включает рекомендуемые параметры SSL для Nginx.
  • ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; используется для обмена параметрами Диффи-Хеллмана, повышая безопасность.

3.2 Тестирование конфигурации Nginx

Перед перезагрузкой Nginx крайне важно протестировать конфигурацию на наличие синтаксических ошибок:

sudo nginx -t

Если тест успешен, вы увидите вывод, похожий на:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.3 Перезагрузка Nginx

После успешного прохождения теста конфигурации перезагрузите Nginx, чтобы применить изменения:

sudo systemctl reload nginx

3.4 Проверка HTTPS в браузере

Откройте веб-браузер и перейдите на свой домен, используя https://your_domain.com. Вы должны увидеть значок замка в адресной строке, указывающий на безопасное соединение. Щелчок по замку часто предоставляет сведения о сертификате.

4. Автоматическое продление

Сертификаты Let's Encrypt действительны в течение 90 дней. Certbot автоматически настраивает системную службу (обычно cron job или systemd timer) для продления ваших сертификатов до истечения срока их действия. Вы можете протестировать процесс продления, не выполняя фактическое продление сертификата, выполнив:

sudo certbot renew --dry-run

Эта команда имитирует процесс продления и уведомит вас о любых потенциальных проблемах.

5. Расширенная конфигурация SSL/TLS (необязательно)

Хотя Certbot обрабатывает большую часть базовой конфигурации, вы можете захотеть доработать настройки SSL/TLS для повышения безопасности или производительности.

5.1 Версии протокола SSL

Хорошей практикой является отключение старых, небезопасных версий протокола SSL/TLS, таких как SSLv2 и SSLv3, а также TLSv1.0 и TLSv1.1. Современные браузеры и серверы поддерживают TLSv1.2 и TLSv1.3.

Добавьте или измените директиву ssl_protocols в вашем блоке server (в конфигурации 443 ssl):

ssl_protocols TLSv1.2 TLSv1.3;

5.2 Наборы шифров (Cipher Suites)

Наборы шифров определяют алгоритмы шифрования, используемые для SSL/TLS-соединения. Вы можете указать предпочтительные наборы шифров для обеспечения надежного шифрования.

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Совет: Вы можете использовать онлайн-инструменты, такие как Mozilla SSL Configuration Generator, для генерации рекомендуемых настроек SSL, адаптированных к возможностям вашего сервера.

5.3 HSTS (HTTP Strict Transport Security)

HSTS — это функция безопасности, которая принудительно заставляет браузеры взаимодействовать с вашим веб-сайтом только через HTTPS. После того как браузер посетил ваш сайт с включенным HSTS, он автоматически будет использовать HTTPS для всех последующих посещений, даже если пользователь введет http:// или нажмет на ссылку http://.

Чтобы включить HSTS, добавьте следующее в ваш блок server, прослушивающий порт 443:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • max-age=31536000: Устанавливает продолжительность, в течение которой браузер должен помнить использовать только HTTPS (31 536 000 секунд = 1 год).
  • includeSubDomains: Применяет политику HSTS ко всем поддоменам.

Внимание: Включайте HSTS с осторожностью. После установки его может быть трудно отменить. Начните с короткого значения max-age (например, 1 час) во время тестирования. Убедитесь, что ваш HTTPS работает идеально, прежде чем устанавливать длительный max-age.

6. Устранение распространенных проблем

  • Certbot не может проверить домен:
    • Убедитесь, что DNS-записи вашего домена правильно указывают на IP-адрес вашего сервера.
    • Проверьте, что Nginx запущен и доступен по HTTP через порт 80.
    • Проверьте правила брандмауэра, чтобы убедиться, что порт 80 открыт.
  • Nginx не перезагружается:
    • Запустите sudo nginx -t, чтобы выявить синтаксические ошибки в файлах конфигурации.
    • Проверьте журналы ошибок Nginx (/var/log/nginx/error.log).
  • Веб-сайт недоступен через HTTPS:
    • Убедитесь, что порт 443 открыт в вашем брандмауэре.
    • Проверьте, что директива listen 443 ssl; присутствует и правильна.
    • Убедитесь, что пути к ssl_certificate и ssl_certificate_key верны.

Заключение

Защита вашего сервера Nginx с помощью HTTPS — это критически важный шаг на пути к созданию надежного и безопасного присутствия в Интернете. Следуя этому руководству, вы научились получать и настраивать SSL/TLS-сертификаты, автоматизировать продление и внедрять базовые улучшения безопасности. Регулярный пересмотр конфигурации SSL/TLS и своевременное обновление программного обеспечения сервера — важные практики для поддержания надежной безопасности.

Внедрение HTTPS — это значительный шаг в управлении современными веб-серверами. Это не только защищает данные ваших пользователей, но и положительно влияет на репутацию вашего сайта и видимость в поисковых системах. Продолжайте изучать расширенные конфигурации Nginx и лучшие практики безопасности, чтобы повысить производительность и отказоустойчивость вашего сервера.