Делаю сайт, Впервые! Опции

[indеx]

Ни думал, ни гадал, что когда-нибудь возьмусь за такое занятие. Во-первых, у меня не было идеи, о чём должен быть сайт. Во-вторых, я никогда не делал сайты, и у меня нет соответствующих навыков. Но тут у друга появилась идея для сайта, которая мне понравилась. А у меня начало появляться свободное время, которое нужно было использовать. Начинать что-то новое я никогда не боялся, поэтому решил начать. Тем более, что общие навыки программирования у меня есть. Сразу скажу: Идею сайта пока рассказывать не буду, не просите! Даже если просто поржать . Да и дело пока не в идее, а в приобретении навыков веб-программирования.
Честно говоря, я уже начал делать сайт, и есть кое-какие наработки. Можно было, конечно, не создавать эту тему, а просто продолжать делать своё дело. Но я человек ленивый, и если не с кем пообщаться на эту тему, то работоспособность у меня почему-то снижается. А если на форуме в теме будет с кем поговорить, то это дело должно стать более захватывающим для меня и пойти веселее . Да и ответственность появится какая-то перед участниками темы, уже так просто не бросишь, будешь стараться доводить дело до конца. Плюс, мне поначалу нужна какая-то записная книжка, в которой будут множественные технические подробности, как именно я сделал то-то и то-то, и чтобы эта информация была доступна мне как с работы, так и из офиса, ибо она может понадобиться повторно. А если эта информация будет доступна ещё и другим людям, то хуже от этого точно не будет никому. Тем более, что на форуме могут найтись участники, способные подсказать, направить, дать совет или ещё как-то помочь мне в моём начинании, что будет для меня весьма кстати. Вот поэтому я и решил создать данную тему.

Обычно я веду беседы совсем на другие темы, не связанные с техникой, что может стать неожиданностью для участников, знакомых со мной на форуме. В связи с этим я считаю необходимым сделать следующее предупреждение.
ПРЕДУПРЕЖДЕНИЕ:
В данной теме предполагается углубленное рассмотрение информационно-алгоритмических подробностей с использованием сложных и неоднозначных для обычных людей понятий, применяемых в этой области. Это способно вызвать у неподготовленного читателя состояние трудно-идентифицируемой дезориентации, во избежание чего, во время прочтения данной темы рекомендуется не пытаться осознать сразу всё, что написано, а также рекомендуется делать перерывы и пить больше жидкости. За психическое состояние читателей автор ответственности не несёт.

Продолжение следует...

[indеx]

...полученных SSL-сертификатов. Где же они, эти сертификаты? Можно ли на них посмотреть? Да, можно, если открыть файлы /etc/letsencrypt/live/site1.ru/fullchain.pem и /etc/letsencrypt/live/site2.ru/fullchain.pem, соответственно. Но если внимательно на эти файлы посмотреть, то можно обнаружить, что они также являются символьными ссылками, а сами сертификаты находятся в файлах /etc/letsencrypt/archive/site1.ru/fullchain1.pem и /etc/letsencrypt/archive/site2.ru/fullchain1.pem, соответственно. Такая манипуляция со ссылками, опять же, используется для удобства. Если открыть файлы сертификатов для просмотра, то можно увидеть наборы каких-то непонятных символов. Это нормально, так и должно быть.

Сертификаты у нас готовы. Но специалисты по защите информации, для более надёжной защиты, рекомендуют также сгенерировать так называемые параметры Диффи-Хеллмана. Эти параметры будут находиться в отдельном файле и тоже будут представлять из себя набор непонятных символов. Но в отличии от сертификатов, настройки Диффи-Хеллмана можно использовать одни общие для всех сайтов на сервере. Давайте создадим для этих настроек каталог /etc/ssl/dh и после этого запустим генерацию параметров:

Код

openssl dhparam -out /etc/ssl/dh/dh.pem 2048

Процесс генерации будет сопровождаться выводом на экран точек и плюсиков, означающих для нас только то, что процесс ещё не закончился. Это может занять несколько минут, но для повышения безопасности наших сайтов, стоит подождать, тем более если это единственный раз. В результате, в каталоге /etc/ssh/dh появится файл dh.pem с параметрами ДХ.

Всё, параметры ДХ сгенерировали. Но перед тем, как мы приступим к настройке использования веб-сервером nginx этих сертификатов, хочу обратить внимание на следующие особенности... Если сайт использует SSL-сертификат для защиты передаваемых данных, то такое соединение называется защищённым и использует уже не 80-й порт как обычно, а порт № 443. Кроме этого, для такого соединения используется другое название протокола — не HTTP, а HTTPS, что отражается в адресной строке, как https:// вместо обычного http://. И если в браузере вместо http://site1.ru пользователь напишет https://site1.ru, то он автоматически попадёт на порт № 443 вместо обычного порта № 80. Всё это нам необходимо учесть в настройках. Кроме того, в настройках я хочу сделать так, чтобы пользователь вообще не мог использовать незащищённое соединение для доступа на сайт. То есть, чтобы при попытке зайти на http:// (порт 80), пользователь автоматически перенаправлялся на https:// (порт 443). Это убережёт неопытных пользователей от неосмотрительной передачи своих личных данных в открытом виде. Найдя в Интернете список подобных настроек, я адаптировал их немного под свои сайты, и вот что у меня получилось для сайта site1.ru:

» Кликните сюда для просмотра оффтоп текста.. «

Код

# редирект с http на https и сразу без www
server {
    listen 80;
    listen [::]:80;
    server_name site1.ru www.site1.ru;
    return 301 https://site1.ru$request_uri;
    server_tokens off; # Запрещение выдачи версии nginx в HTTP-заголовках
}

# редирект по https с www на без www
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name www.site1.ru;
    server_tokens off; # Запрещение выдачи версии nginx в HTTP-заголовках
    ssl_certificate /etc/letsencrypt/live/site1.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/site1.ru/privkey.pem;
    ssl_dhparam /etc/ssl/dh/dh.pem;
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;
    ssl_stapling on; # Разрешение прикрепления сервером OCSP-ответов
    ssl_stapling_verify on; # Разрешение проверки сервером OCSP-ответов
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    return 301 https://site1.ru$request_uri;
}

# основной раздел, выдающий файлы
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name site1.ru;
    server_tokens off; # Запрещение выдачи версии nginx в HTTP-заголовках
    ssl_certificate /etc/letsencrypt/live/site1.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/site1.ru/privkey.pem;
    ssl_dhparam /etc/ssl/dh/dh.pem;
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;
    ssl_stapling on; # Разрешение прикрепления сервером OCSP-ответов
    ssl_stapling_verify on; # Разрешение проверки сервером OCSP-ответов
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    root /var/www/site1.ru;
    index index.php index.html;
    location / {
        try_files $uri $uri/ =404;
    }
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
    }
}

Это содержимое файла /etc/nginx/sites-available/site1.ru. Для сайта же site2.ru настройки будут располагаться в своём файле /etc/nginx/sites-available/site2.ru и будут выглядеть точно так же, за исключением того, что домен site1.ru заменён на домен site2.ru.
Всё, теперь перезапускаем nginx:

Код

systemctl restart nginx

И проверяем, как работают сайты. В браузере набираем http://site1.ru — попадаем на https://site1.ru с замочком в начале адресной строки, что означает, что наш сайт использует теперь защищённое подключение. Затем пробуем набрать http://www.site1.ru и https://www.site1.ru. В обоих случаях мы также попадаем на https://site1.ru, как мы и хотели. Сайт site2.ru работает у нас точно так же. И теперь наши сайты будут иметь выше рейтинг в поисковых системах не только из-за объединения доменов с www и без www, но и из-за использования защищённого соединения с доверенным SSL-сертификатом.

Продолжение следует...