Настройка и обсуждение SSL в XenForo

[X-Xen]

Хочу создать такую тему, в этой теме можно выкладывать конфиги, настройку самого движка, а также отзывы и обсуждения нужен-ли SSL на форумах и т.д.

Вот начну, кофиг nginx скачанный с офф. сайта:

server {
  listen  80;
  server_name  example.com *.example.com;
  rewrite  ^ https://$server_name$request_uri? permanent;
  server_tokens off;
}
server {
  listen 443;
  server_name example.com *.example.com;
  server_tokens off;
  ssl on;
  ssl_certificate /usr/local/etc/nginx/ssl/example.com.crt;
  ssl_certificate_key /usr/local/etc/nginx/ssl/example.com.key.nopass;
  access_log /var/log/nginx/example.com.access_log;
  error_log /var/log/nginx/example.com.error_log;
  root /var/www/example.com/public_html;
  index index.php index.html;

  location / {
  try_files $uri $uri/ /index.php?$uri&$args;
  }

  # NOTE: if XenForo is installed under a directory, replace /index.php?$uri&$args with /directory/index.php?$uri&$args
  location  = /admin.php { 
  auth_basic "Administrator Login";
  auth_basic_user_file /path/to/htpasswd;
  try_files $uri =404;
  fastcgi_pass unix:/var/run/php5-fpm.sock;
  fastcgi_index index.php; fastcgi_param HTTPS on;
  fastcgi_param HTTP_SCHEME https;
  include fastcgi_params;
}

  location ~ /(internal_data|library) {
  internal;
  }

  location ~ \.php$ {
  fastcgi_split_path_info ^(.+\.php)(/.+)$;
  # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
  # With php5-cgi alone:
  #fastcgi_pass 127.0.0.1:9000;
  # With php5-fpm:
  fastcgi_pass unix:/var/run/php5-fpm.sock;
  fastcgi_index index.php;
  fastcgi_param  HTTPS  on;
  fastcgi_param  HTTP_SCHEME https;
  include fastcgi_params;
  }
  # deny access to .htaccess files, if Apache's document root
  # concurs with nginx's one
  #
  location ~ /\.ht {
  deny all;
  }

  # If you run Munin this is the config (except CGI).

  location /munin/static/ {
      alias /etc/munin/static/;
    expires modified +1w;
  }

  location /munin/ {
      auth_basic  "Restricted";
      # Create the htpasswd file with the htpasswd tool.
    auth_basic_user_file  /etc/nginx/htpasswd;
    alias /var/cache/munin/www/;
    expires modified +310s;
  }
}

Данный конфиг для тех у кого nginx — фронтенд, apache — бэкенд !

Ну и очень хочется узнать мнение пользователей этого ресурса, нужен-ли вообще SSL на форумах !

 

[Hope]

SSL возможно и нужен, но на тех форумах, где реально есть, что воровать, а так, например на городских форумах и т.п. - в нём не вижу смысла... И если только добавлять его в форму реги, авторизации, ну вообщем туда, где вводится пароль, а так ни к чему это баловство я думаю.

 

[GarrySt]

Нужен, не нужен это второй вопрос. Первый это уметь реализовывать. Знания и умения лишними не бывают.

Недавно кстати видел тут тему, обсуждали, что сам движек пока не очень дружить с https, интересно было бы почитать комментарии кто запустил форум и заставил его корректно работать полностью по https. С какими подводными камнями столкнулся и как решил их.

 

[HellFire]

Нужен, не нужен это второй вопрос. Первый это уметь реализовывать. Знания и умения лишними не бывают.

Недавно кстати видел тут тему, обсуждали, что сам движек пока не очень дружить с https, интересно было бы почитать комментарии кто запустил форум и заставил его корректно работать полностью по https. С какими подводными камнями столкнулся и как решил их.

просто руки не из того места :-)

Если подключать ссл то почему-бы сразу на весь сайт не подключить?





А ответ в голосовании: больше да, чем нет

 

[GarrySt]

Если подключать ссл то почему-бы сразу на весь сайт не подключить?

Скоро узнаю :) Думаю в течении недельки буду форум уже закидывать на хостинг, там и SSL будет. Посмотрим как все пройдет. По идее я со стороны не вижу где могут быть проблемы. Но они такие... проблемы, вечно появляются от туда, где их не ждешь :(

 

[X-Xen]

Если подключать ссл то почему-бы сразу на весь сайт не подключить?

Ну у меня на сайте очень много внешних элементов, таких как картинки видяшки и т.д., большенство из них по http и пользователи получают неприятные сообщения от браузера, а многие элементы так вообще браузер блокирует, поэтому мне нужно, что-бы именно два сайта было http и https !

Причём как я понял реализовать https-авторизацию и регистрацию не так-уж и сложно, достаточно в ручную в шаблонах прописать:

Для авторизации:

Найти в шаблонах:

/login/login

И заменить на:

https://mysite/login/login

Для регистрации:

Найти в шаблонах:

/register/register

И заменить на:

https://mysite/register/register

Для лички тоже можно в ручную прописать:

https://mysite/conversations

И зачем-же сразу руки обсуждать, в каждом сайте своя специфика, я не профи в настройках сервера, раза два пробовал настроить, первый раз не получилось настроить сервер, второй раз сервер настроил, но движок отказался генерить ссылки https, а также загружать скрипты даже стандартные по https, я как понял из обсуждения на офф. сайте, настроек в ISPManager не достаточно, нужно ещё в конфиги nginx прописать это:

fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;

Но не проверял, у кого получилось настроить, напишите подробно, что и как вы делали !

 

[HellFire]

кстать, если пользоваель авторизовался по https разве куки не привязаны именно к https?

 

[X-Xen]

кстать, если пользоваель авторизовался по https разве куки не привязаны именно к https?

Навряд-ли, т.к. https это протокол, а не домен ! ;)

 

[HellFire]

Навряд-ли, т.к. https это протокол, а не домен ! ;)

я вкурсе, я просто сужу по тому,что на ачате или других форумах если авторизуешься по https то по http если зайдёшь, то ты не авторизован

 

[Vasya2403]

Как раз только поставил SSL из за приложения вконтакте, нужная тема. Как руки доберутся обязательно попробую.

 

[X-Xen]

Перевёл полностью сайт на SSL, в целом работает нормально, но расскажу со сложностью с которой я сталкнулся и как решил:

У меня связка Nginx+Apache и происходило такое: Заходим по https (это организовано в nginx), ну а потом nginx по обычному http связывается с Apache, и соответственно apache даже не знает что мы по https счас работаем ), в этоге получается что половина ЛОКАЛЬНЫХ эллементов грузится по http, а половина по https, долго думал как это решить, а потом понял что XenForo проверяет переменную _SERVER["HTTPS"], в общем у кого будет такая проблема, нужно в /library/config.php прописать это:

$_SERVER['HTTPS'] = 'on';

В остальном нормально всё работает, ну и поправить внешние эллементы конечно надо, что-бы они грузились по https !

я вкурсе, я просто сужу по тому,что на ачате или других форумах если авторизуешься по https то по http если зайдёшь, то ты не авторизован

Проверил в XenForo так-же, так-что приходится переводить весь сайт на https !:wink:

 

[HellFire]

на 1.3 думаю всё решиться из-за включения новых функций ксени, а именно

• Проксирование внешних ссылок, включая изображения

т.е. поставьте проксирование на 1 день или прочее, и должна проблема с внешними элементами решиться

 

[step-83]

Установил сертификат SSL.
вопрос как быть с внешними картинками ? как их пропустить через SSL

Сори все нашел

Стандартная функция xenforo
/admin.php?options/list/messageOptions#_imageLinkProxy
вопрос закрыт

 

[Reborns]

и соответственно apache даже не знает что мы по https счас работаем ),

Ну так вы ему об этом скажите :))) и конфиги ненадо трогать
SetEnvIf X-Forwarded-Proto https HTTPS=on

 

[margent]

Так, подцепил SSL сертификат.
Вопрос только один, как принудительно заставить юзеров цепляться на https? То есть, заходя по http, что бы их кидало на https.

На борту ISPmanager 5.

 

[Skaiman]

Если используешь СloudFlare, то в новом дизайне на вкладке Page Rules, включить Always use https для

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[Smalesh]

Если используешь СloudFlare, то в новом дизайне на вкладке Page Rules, включить Always use https для

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

И в конфиг добавить

// Real IP
if (isset($_SERVER['HTTP_CF_CONNECTING_IP']))
{
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_CF_CONNECTING_IP'];
}

//$_SERVER['HTTPS'] = 'on';

if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
$_SERVER['HTTPS']='on';

 

[Skaiman]

И в конфиг добавить

Эт вроде как само сабой https://xenforo.info/resources/Использование-https-ssl-соединения-с-помощью-htaccess-и-mod_rewrite-для-xenforo.2559/

 

[margent]

Если используешь СloudFlare, то в новом дизайне на вкладке Page Rules, включить Always use https для

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Не, форум куда купил SSL нет клоуда.

Эт вроде как само сабой https://xenforo.info/resources/Использование-https-ssl-соединения-с-помощью-htaccess-и-mod_rewrite-для-xenforo.2559/

Я так понимаю вот это нужно запилить?

 

[Exile]

margent, суть в том, что должен быть 301 редирект с не-https версии. Минус в том, что нельзя настроить форум на одновременную работу двух версий - так что или или.