Настройка и обсуждение SSL в XenForo

[X-Xen]

Хочу создать такую тему, в этой теме можно выкладывать конфиги, настройку самого движка, а также отзывы и обсуждения нужен-ли SSL на форумах и т.д.

Вот начну, кофиг nginx скачанный с офф. сайта:

server {
  listen  80;
  server_name  example.com *.example.com;
  rewrite  ^ https://$server_name$request_uri? permanent;
  server_tokens off;
}
server {
  listen 443;
  server_name example.com *.example.com;
  server_tokens off;
  ssl on;
  ssl_certificate /usr/local/etc/nginx/ssl/example.com.crt;
  ssl_certificate_key /usr/local/etc/nginx/ssl/example.com.key.nopass;
  access_log /var/log/nginx/example.com.access_log;
  error_log /var/log/nginx/example.com.error_log;
  root /var/www/example.com/public_html;
  index index.php index.html;

  location / {
  try_files $uri $uri/ /index.php?$uri&$args;
  }

  # NOTE: if XenForo is installed under a directory, replace /index.php?$uri&$args with /directory/index.php?$uri&$args
  location  = /admin.php { 
  auth_basic "Administrator Login";
  auth_basic_user_file /path/to/htpasswd;
  try_files $uri =404;
  fastcgi_pass unix:/var/run/php5-fpm.sock;
  fastcgi_index index.php; fastcgi_param HTTPS on;
  fastcgi_param HTTP_SCHEME https;
  include fastcgi_params;
}

  location ~ /(internal_data|library) {
  internal;
  }

  location ~ \.php$ {
  fastcgi_split_path_info ^(.+\.php)(/.+)$;
  # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
  # With php5-cgi alone:
  #fastcgi_pass 127.0.0.1:9000;
  # With php5-fpm:
  fastcgi_pass unix:/var/run/php5-fpm.sock;
  fastcgi_index index.php;
  fastcgi_param  HTTPS  on;
  fastcgi_param  HTTP_SCHEME https;
  include fastcgi_params;
  }
  # deny access to .htaccess files, if Apache's document root
  # concurs with nginx's one
  #
  location ~ /\.ht {
  deny all;
  }

  # If you run Munin this is the config (except CGI).

  location /munin/static/ {
      alias /etc/munin/static/;
    expires modified +1w;
  }

  location /munin/ {
      auth_basic  "Restricted";
      # Create the htpasswd file with the htpasswd tool.
    auth_basic_user_file  /etc/nginx/htpasswd;
    alias /var/cache/munin/www/;
    expires modified +310s;
  }
}

Данный конфиг для тех у кого nginx — фронтенд, apache — бэкенд !

Ну и очень хочется узнать мнение пользователей этого ресурса, нужен-ли вообще SSL на форумах !

 

[Mirovinger]

Однако, у меня так.

В разлогинном виде проблем нет, залогинившись проблема появлятеся

Тогда, если можно тестовый.

 

[water-lord]

Однако, у меня так.
Посмотреть вложение 51988

Отправил в личку, а тем временем узнал что ругается на имгуровские изображения, те, что с лайтшота

на иконку в редакторе ругается.... Охренеть

 

[Mirovinger]

Как я понял, иконка тянется с обменника.


А, вижу сами уже нашли.=)

 

[water-lord]

Иконка редактора почему то хранилась на имгуре, перезалили на сервер.
Всё в порядке теперь

Как я понял, иконка тянется с обменника.
Посмотреть вложение 51991

А, вижу сами уже нашли.:-)

Да, всё исправили, поставили на свой сервер

 

[softwox]

Столкнулся с проблемкой по поводу SSL(HTTPS), тем тут куча по этому поводу, но конкретного ответа нет.
В общем прописал я в .htaccess вот это:

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301]

результата - 0, но если при принудительно перейти по https, то css валится. Поискал по шаблонам, даже по фразам искал, заменил с

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- на //ссылка, результата тоже не дало. В браузере открываю панель разработчика и вижу что логотип и стили загружаются по http. Обыскал все настройки но ничего больше связанное с http не нашел. В настройках адрес форума начинается с https. Проксирование изображений и ссылок включено.

Думал, думал, взял и добавил в конец library/config.php вот это:

$_SERVER['HTTPS'] = 'on';

, теперь если набрать просто имя домена то открывается так же с http, если принудительно добавить https - то теперь все норм и css не валится.

Вопросы:
Правильно ли я сделал c library/config.php или нужно хостеру написать чтоб домен(сайт, форум) принудительно открывался по https?

 

[Smalesh]

Я уже где-то рассказывал что можно посмотреть в phpinfo заголовки, посмотреть какой заголовок указывает на https (а они, в зависимости от откружения и настроек, могут быть разные), построить правило для .htaccess на этом заголовке.
Ну или просто вписать

$_SERVER['HTTPS'] = 'on';

Потому что обычно обратной задачи, перевод https -> http, не ставится. И все работает. Т.е. можно вписывать и не париться.

 

[softwox]

Я уже где-то рассказывал что можно посмотреть в phpinfo заголовки, посмотреть какой заголовок указывает на https (а они, в зависимости от откружения и настроек, могут быть разные), построить правило для .htaccess на этом заголовке.
Ну или просто вписать

$_SERVER['HTTPS'] = 'on';

Потому что обычно обратной задачи, перевод https -> http, не ставится. И все работает. Т.е. можно вписывать и не париться.

Так я и вписал это:

$_SERVER['HTTPS'] = 'on';

но главная страница изначально открывается по http и авторизоваться не получается, пока не кликнешь по какому нибудь разделу, раздел уже открывается по https и от туда я могу авторизоваться. Это как я понимаю получается из-за того, что изначально соединение с сервером идет по http. Где мне этот phpinfo смотреть когда у меня хостинг. Хостеру написать чтоб было только https? Или что то другое?

 

[Smalesh]

Хостеру написать чтоб было только https?

Да, лучше хостеру. Он может сделать это гораздо красивее, чем банальный .htaccess.
PS: если SSL от Cloudflare, то редирект включается у них в настройках - этого достаточно.

 

[softwox]

Да, лучше хостеру. Он может сделать это гораздо красивее, чем банальный .htaccess.
PS: если SSL от Cloudflare, то редирект включается у них в настройках - этого достаточно.

Нет у меня от Let's Encrypt, причем хостер мне его сам установил.

 

[Smalesh]

Нет у меня от Let's Encrypt, причем хостер мне его сам установил.

Тогда попросить хостера прописать редирект и все.

 

[softwox]

Тогда попросить хостера прописать редирект и все.

Понял. Спасибо.

 

[maironlost]

Мне в тех.поддержке сказали что шаблон не поддерживает SSL.Перебрал эти сервера,бабок выкинул,везде пишут что нужно все ссылки в шаблоне с http переделывать в https. Где только их искать и сколько их вообще там?! Ужас какой то.

 

[Mirovinger]

Кто Вам такое сказал, всё поддерживается и работает, при должной настройке сервера/хостинга.
От Вас в настройках движка нужно сделать пару настроек и иногда в конфиг одну строчку прописать.

 

[maironlost]

Кто Вам такое сказал, всё поддерживается и работает, при должной настройке сервера/хостинга.
От Вас в настройках движка нужно сделать пару настроек и иногда в когнфиг одну строчку прописать.

Вот так мне сказали на одном сервере. Я правда прописал в конфиге $_SERVER['HTTPS'] = 'on'; форум стал отображаться корректно,но на некоторых страницах замок открыт.Пишет что соединение защищено,но некоторые данные переданы небезопасным способом. Вот тут то и встрял я:)

 

[Mirovinger]

Пишет что соединение защищено,но некоторые данные переданы небезопасным способом. Вот тут то и встрял я:-)

Тоже решается, на тех страницах, скорее всего были изображения со сторонних источников без шифрования.
А решается включением в админке проксирования изображений, или в консоли браузера отлавливаются линки, которые допустим иногда могут в стиле случайно быть, и правится.=)

 

[maironlost]

А решается включением в админке проксирования изображений

А подскажите где именно?

 

[Mirovinger]

/admin.php?options/list/messageOptions
Проксирование ссылок и изображений

 

[maironlost]

/admin.php?options/list/messageOptions
Проксирование ссылок и изображений

Отлично,прокатило,спасибо большое за помощь.

 

[flexonica]

SSL возможно и нужен, но на тех форумах, где реально есть, что воровать, а так, например на городских форумах и т.п. - в нём не вижу смысла... И если только добавлять его в форму реги, авторизации, ну вообщем туда, где вводится пароль, а так ни к чему это баловство я думаю.

и да и нет) сейчас ссл дается каждому школьнику) на 1 год бесплатно) вопрос лиш в руках ,того кто сможет поставить его а кто нет)

 

[Hope]

вопрос лиш в руках ,того кто сможет поставить его а кто нет)

Не знаю, я смог поставить например, на Бегете кнопку кликнул и вот оно!