Перевод форума на HTTPS

[Levandr]

Добрый день.

Заметил что форум работает только по http.

Желаю чтобы он работал по https по следующим причинам:

• firefox при вводе логина и пароля пишет что его могут перехватить по дороге к вам.
• наверно сайт будет выше ранжироваться поисковиками
• другие очевидные преимущества

Список бесплатных сервисов по выдаче сертификатов: https://habr.com/ru/company/itsumma/news/t/571368/

Я бы рекомендовал отключить http при включении https.

Сервис для проверки правильности установки https: https://www.ssllabs.com/ssltest/analyze.html

Поскольку я занимался настройкой https для сервера nginx, приведу вырезки из конфигурации.

nginx.conf:

http {
    keepalive_timeout  70;
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    server {
        server_name www.example.ru;
        include nginx_tls.conf;
        return 302 https://example.ru$request_uri;
    }
   
    server {
        server_name www.example.ru example.ru;
        include nginx_listen80.conf;
        return 302 https://example.ru$request_uri;
    }
   
    server {
        server_name         example.ru;
        include nginx_tls.conf;

        add_header Cache-Control "max-age=300, must-revalidate";
        charset UTF-8;
    }

   
}

nginx_tls.conf:

        listen  443 ssl http2;
        listen [::]:443 ssl http2;
       
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_certificate     /etc/letsencrypt/live/example.ru/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.ru/privkey.pem;
        add_header Strict-Transport-Security "max-age=17280000; includeSubDomains";
       
        ssl_stapling on;
        ssl_stapling_verify on;
       
        # https://dns.yandex.ru/advanced/
        # is required for OCSP Staple work
        resolver [2a02:6b8::feed:0ff] [2a02:6b8:0:1::feed:0ff] 77.88.8.8 77.88.8.1;
       
        # The sites to check TLS on a web server.
        # https://www.digicert.com/help/
        # https://www.ssllabs.com/ssltest/

nginx_listen80.conf:

        listen  80;
        listen [::]:80;

[AlexZhuk]

Вопрос от "чайника". Это когда замочек в адресной строке? Я для alexzhuk.ru как-то получал его на полгода, что ли. Потом это добро автоматически продлевалось. А а ВЕСПЕ цены конские.
Но готов рассмотреть вариант от сисадмина. Вот праздники закончатся - отпишусь ему, пока не хочу беспокоить. Сам только отходить начинаю (((

[Levandr]

(....)Это когда замочек в адресной строке? (...)

так точно.

[Eugene.LatDev]

Ну как сказать, как-бы есть смысл ставить GoDaddy сертификат, всё-равно мы с ними сотрудничаем у нас домен через них связан, но платить 54 еврея в год, за замочек.. Хз так себе профит. Бесплатные варианты, Let's Encrypt требует ставить на севак ихнего бота. Про SSL.com не знаю, я с ним не особо сталкивался. По поводу настроек, у нас Apache после HA. Как настроить SSL я знаю, просто никакими финансами и безопасной информацией мы не оперируем и не храним, да и на форум некто из публичных мест не заходят. В крайнем случае восстановить аккаунт проще простого через email.

"наверно сайт будет выше ранжироваться поисковиками" - абсолютно нет, поисковикам по барабану на SSL - уже не однократно проверено.

"другие очевидные преимущества" - какие? Я с радостью рассмотрю варианты.

[AlexZhuk]

но платить 54 еврея в год, за замочек..

Я могу, в принципе, рассмотреть и этот вариант. Если будет очевидный толк.
Давайте уже признаемся себе честно, что форум убыточный, и когда он перейдет на самоокупаемость - лично мне неизвестно.
Но я в любом случае буду его содержать и на нем работать.

[Eugene.LatDev]

Дядь Саш, дай доступ до DNS машины, на мою почту (в моём профиле), и отпиши в телеграме... А то у меня логины есть, но они двухфакторку на `a*x.ru` ввели... У них там должно быть в админке Daddy должно быть добавление авторитетного пользователя. Я бота Let's Encrypt посадил в Jail, дал ему порезанные доступы, надо callback url сгенерировать и TXT запись в DNS страницу добавить. И вроде как должен будет HTTPS запустится.

[LiOPSIK]

этот форум у меня открывается и в Файрфоксе и в Сафари на тлф
так что проблем не вижу
кто будет перехватывать данные с форума электриков?
пароли если только... если у человека 1 пароль на все сайты

пс
некоторые сайты не открываются в Сафари, ругается на безопасность, это просроченный HTTPS ?

[Eugene.LatDev]

Перешли на HTTPS  Если какие будут ошибки, пишите в "Вопросы и предложения по работе форума", будем исправлять по мере поступления.

[Sharfik]

Про "очевидные преимущества" что то новое стало известно?

[Eugene.LatDev]

Про "очевидные преимущества" что то новое стало известно?

Неа  кроме убитых 3х часов на перенастройку всего форума. Пути до смайликов, темок, картинок. и.т.п. Никаких... 

SMF как чёртов мамонт, один раз поставил и не трогай... Резкие перемены и перепады настроения, тварь такая - терпеть не может.

[Sharfik]

Про "очевидные преимущества" что то новое стало известно?

Неа  кроме убитых 3х часов на перенастройку всего форума. Пути до смайликов, темок, картинок. и.т.п. Никаких... 

SMF как чёртов мамонт, один раз поставил и не трогай... Резкие перемены и перепады настроения, тварь такая - терпеть не может.

Лучше было потратить время на плагин защиты от авторегистрации. Помню были проблемы с этим.. тяжело регистрироваться тут.

[Eugene.LatDev]

Лучше было потратить время на плагин защиты от авторегистрации. Помню были проблемы с этим.. тяжело регистрироваться тут.

Сделаем. Там жуткое мясо из кода, придется попотеть...

https://github.com/SimpleMachines/SMF/blob/release-2.1/Sources/Register.php
https://github.com/SimpleMachines/SMF/blob/release-2.1/Themes/default/Register.template.php