Для использования в Apache-2.4.7 (Ubuntu-14.04) сгенерировал SSL-сертификат от Let's encrypt для основного домена и поддомена через команду# ./certbot-auto --apache -d mydomain.org -d www.mydomain.org
При этом проверка на https://www.ssllabs.com/ успешна для обоих доменов.
Проблема в том, что нормальный HTTPS контент (с зеленым замком в Firefox) отображается только по адресу https://www.mydomain.org.
При открытии https://mydomain.org в браузере варнинг с желтым значком и словами:
"Незащищённое соединение. Части этой страницы (такие как изображения) не защищены."И отображается только текст без фона и картинок.
Был автоматически сгенерирован конфиг в /etc/apache2/sites-available с таким контентом:
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName mydomain.org
ServerAlias www.mydomain.org
DocumentRoot /var/www/html/mydomain.org/forum<Directory /var/www/mydomain.org/forum>
AllowOverride All
</Directory>
SSLCertificateFile /etc/letsencrypt/live/mydomain.org-0001/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.org-0001/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain.org-0001/chain.pemInclude /etc/letsencrypt/options-ssl-apache.conf
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"</VirtualHost>
</IfModule>
остальные конфиги я поотключал:
$ sudo a2dissite 000-default.conf
и
$ sudo a2dissite default-ssl.confсодержимое /etc/letsencrypt/options-ssl-apache.conf:
SSLEngine onSSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-S
HA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES1
28-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AE
S128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES
256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!
aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common
CustomLog /var/log/apache2/access.log vhost_combined
LogLevel info ssl:debug
ErrorLog /var/log/apache2/error.logHeader edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"
В /var/log/apache2/error.log
[Tue Feb 14 13:30:24.236704 2017] [ssl:info] [pid 5774] [client 178.210.xx.xx:44392] AH01964: Connection to child 2 established (server www.mydomain.org:443)[Tue Feb 14 13:30:24.238477 2017] [ssl:info] [pid 5021] [client 178.210.xx.xx:44394] AH01964: Connection to child 6 established (server www.mydomain.org:443)
[Tue Feb 14 13:30:28.662109 2017] [ssl:info] [pid 4990] (70007)The timeout specified has expired: [client 178.210.xx.xx:44382] AH01991: SSL input filter read failed.
[Tue Feb 14 13:30:30.056587 2017] [ssl:info] [pid 4986] [client ::1:33442] AH01998: Connection closed to child 0 with abortive shutdown (server www.mydomain.org:443)
Возможно ServerAlias тут и ни при чём, но тред назвал так...
> При этом проверка на https://www.ssllabs.com/ успешна для обоих доменов.И
> Проблема в том, что нормальный HTTPS контент (с зеленым замком в Firefox)
> отображается только по адресу https://www.mydomain.org.И
> При открытии https://mydomain.org в браузере варнинг с желтым значком и словами:
> "Незащищённое соединение. Части этой страницы (такие как изображения) не защищены."
> И отображается только текст без фона и картинок.означает что на вашем форуме есть и используются незащищенные ссылки в виде http://, исправьте и будет вам счастье. ServerAlias тут не причем и он отрабатывает корректно!
> означает что на вашем форуме есть и используются незащищенные ссылки в виде
> http://, исправьте и будет вам счастье. ServerAlias тут не причем и
> он отрабатывает корректно!ok, спасибки, тоже была такая мысль, но как-то улетучилась)) думал трабл в апаче...
а можно чтобы не вручную редактить кучу страниц (на сервере форум поднят)
как-то запретить вообще контент показывать на https://mdomain.org?чтобы он был доступен только на https://www.mydomain.org
Что-то вроде этого:<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://www.example.com/
</VirtualHost><VirtualHost *:443>
ServerName example.com
ServerAlias www.example.comSSLEngine On
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On# Certificates
# ...
# ...# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
Header always set Content-Security-Policy upgrade-insecure-requests
</VirtualHost>
А лучше так, то есть все редайректим на https://www.example.com:<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://www.example.com/
</VirtualHost><VirtualHost *:443>
ServerName example.comRedirect permanent / https://www.example.com/
SSLEngine On
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On# Certificates
# ...
# ...# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
Header always set Content-Security-Policy upgrade-insecure-requests
</VirtualHost><VirtualHost *:443>
ServerName www.example.comSSLEngine On
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On# Certificates
# ...
# ...# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
Header always set Content-Security-Policy upgrade-insecure-requests
</VirtualHost>
> А лучше так, то есть все редайректим на https://www.example.com:Указал для обоих виртуальных хостов строку:
Redirect permanent / https://www.example.com/рестартанул апача
Странно, но то же самое:
При открытии https://mydomain.org в браузере варнинг с желтым значком и словами:
"Незащищённое соединение. Части этой страницы (такие как изображения) не защищены."И отображается только текст без фона и картинок.
>> А лучше так, то есть все редайректим на https://www.example.com:
> Указал для обоих виртуальных хостов строку:
> Redirect permanent / https://www.example.com/
> рестартанул апача
> Странно, но то же самое:
> При открытии https://mydomain.org в браузере варнинг с желтым значком и словами:
> "Незащищённое соединение. Части этой страницы (такие как изображения) не защищены."
> И отображается только текст без фона и картинок.ой, ну я имел в виду конечно же строку
Redirect permanent / https://mydomain.org/
и в браузере пытаясь открывать
http://mydomain.org/открывается https://mydomain.org/ и на секунду зелененький замочек загорается, затем та же ситуация:
"Незащищённое соединение. Части этой страницы (такие как изображения) не защищены."
И отображается только текст без фона и картинок.Может из-за того что текущая версия апача:
2.4.7-1ubuntu4.13 ?пробовал указать другой сайт в строке
Redirect permanent / https://yandex.ru/тоже не срабатывает((