קוד: |
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096
|
קוד: |
Later on, you would probably wish to remove the SSL warning and make the SSL test a clean "A". One option is to use Let's Encrypt as described in the article How To Secure Nginx with Let's Encrypt on Ubuntu 14.04. It is free, allows you to specify an RSA key size up to 4096, and doesn't give a warning about being self-signed. Otherwise, you can choose any of commercial SSL providers out there. When you choose one just make sure that you opt for a SHA256 certificate. |
ציטוט: |
נסה לבדוק בלוגים של nginx מה הבעיה.
אתה לא יכול להשתמש ב־lets encrypt כי הוא דורש שיהיה לך דומיין מוגדר בשרת. |
ציטוט: |
אולי כי השרת לא מאזין ל 443 SSL ? בהמשך המדריך (מהנקודה אשר עצרת) כתוב לך כיצד לעשות זאת.
ובכל מקרה תצטרך תעודת CA (למשל של lets enc) על מנת שבראוזרים לא יתלוננו על האתר שלך |
קוד: |
server {
listen 80; listen [::]:80; server_name 192.168.1.4; root /usr/share/nginx/html/; index index.php index.html index.htm index.nginx-debian.html; ### SSL Part listen 443 ssl; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; |
ציטוט: |
אם פורט 80 (לפחות זמנית) ופורט 443 פתוחים לאינטרנט, חפש הוראות לשימוש בסרטיפיקט של Let's Encrypt. החיים הרבה יותר פשוטים איתו. התהליך הפך להיות הרבה יותר אוטומטי.
אם פורט 443 לא חשוף החוצה, תהיה לך בעיה ליצור סרטיפיקט אמין. הפתרון הפשוט ביותר הוא self-signed certificate וללמד את מי שצריך להאמין לו. האם זה המצב? |
ציטוט: |
רק לחדד שכל הענין הזה של SSL |
Anonymous : |
רק לחדד שכל הענין הזה של SSL נועד לאבטחה של מי שמתחבר אליך. זה לא תורם דבר וחצי דבר לאבטחת השרת שלך (מפני פריצות וכיוב').
אם המשתמשים צפוים להעביר או לקבל איזשהו מידע אישי (שם משתמש, ססמה, כתובת מייל וכיוב') מומלץ מאוד (שוב, עבור המשתמשים שלך) להשתמש ב-SSL. אם כל המידע סטטי, או כל המידע שמתקבל ונמסר הוא ציבורי וכללי - חבל על המאמץ. SSL לא תורם שום אלמנט של אבטחת אפליקצית האתר/שרת מפני פריצה או גישה לא מורשית. |
קוד: |
A registered domain or subdomain pointed to the Droplet's IP. You will need this to test the SSL settings. For more information read this article on How to Point to DigitalOcean Nameservers From Common Domain Registrars. |
ציטוט: |
בכלל יש לי שאלה עקרונית: בכדי לקבל SSL האם ניתן להשתמש רק עם lets encrypt וכמובן עם דומיין, או שבכל מקרה השלב שבצעתי עם הפקודה שמסתימת ב 4096 היה הכרחי? יש לי כאן אי הבנה ואשמח להסבר - האם חייבים את שני השלבים או שמדובר בשני סוגי פתרונות וכרגע הפתרון הראשון לא עובד? ויתכן שעם Let's Encrypt הפתרון יותר קל כפי שנאמר כאן תודה |
Anonymous : |
אני מבין זה שביצוע השלב הראשון של חישוב המפתח, שכנראה נעשתה עם אלגוריתם די מורכב (4096), ולכן לקחה הרבה זמן (כמה שעות), עקב כח החישוב המוגבל של PI, |
קוד: |
$ cat /proc/sys/kernel/random/entropy_avail 3730 |
ציטוט: |
כוח החישוב שלו אינו עד כדי כך מוגבל. אם זה עיכוב כזה, ככל הנראה שלא מדובר על כוח חישוב מוגבל אלא על מחסור בביטים אקראיים. תצטרך ליצור בהמשך מספרים אקראיים באמת. |
קוד: |
cat /proc/sys/kernel/random/entropy_avail
3412 |
קוד: |
$ echo bcm2835_rng | sudo tee /etc/modules-load.d/rng-tools.conf
$ sudo modprobe bcm2835_rng $ sudo apt-get install rng-tools $ echo 'HRNGDEVICE=/dev/hwrng' | sudo tee --append /etc/default/rng-tools $ sudo systemctl enable rng-tools $ sudo systemctl start rng-tools $ sudo systemctl status -l rng-tools |
ציטוט: |
גם אם יהיה לך דומיין זה לא תחליף לשירות כמו no-ip. כל עוד אין לך כתובת IP קבועה אתה צריך דרך לעדכן את ההפניה של הדומיין לכתובת שלך. |
Anonymous : |
במקביל להשמשת SSL אני מנסה לברר איזה שירות DDNS מאפשר גלישה עם SSL חינמי -
נראה ש noip דורש תשלום... מישהו מכיר שירות שנותן את זה חינם? ובכלל - מניסיון שלכם יש העדפה לשירות DDNS מסוים? |
קוד: |
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096 |
Anonymous : | ||
המשכתי בהתקנת האתר והוא עובד דרך noip על פורט 80 http. כאמור מדובר ב PI3 עם רספביאן עם nginx. כרגע אני רוצה להתקין SSL עם LET's Encrypt - עבדתי לפי המדריך הבא:
https://pimylifeup.com/raspberry-pi-ssl-lets-encrypt/ הגעתי לסעיף 8 ולא יודע האם ללכת לפי 8a או 8b - האם לבחור ב standalone או ב web root? לא יודע מה זה אומר ומה יותר מתאים ל setup שלי? או שיש לכם מדריך יותר מתאים. בהמשך ההתקנה אני מניח שיהיה שימוש במפתח שכבר יצרתי עם הפקודה הבאה:
|
קוד: |
sudo apt-get install certbot |
קוד: |
certbot certonly --standalone -d example.com -d www.example.com |
קוד: |
return 301 https://$host$request_uri; |
קוד: |
# Redirect HTTP to HTTPS
if ($scheme = http) { return 301 https://$server_name$request_uri; |
קוד: |
return 301 https://$host$request_uri; |
Anonymous : |
דרך אגב: מדוע לא ניתן לבטל (בראוטר וב nginx) את הגישה בפורט 80 עבור HTTP ולהשאיר רק את 443? יש משתמשים שלא יכולים להתחבר עם HTTPS? |