Проверка SSL сертификата

[X-ray]

Установил на тестовый домен кошерный SSL сертификат, проверить работу можно тут: https://test.dapf.ru (работает только для https протокола, в http используется перенаправление на форум).
Сертификат стоит от центра StartCOM, подробнее тут:

Вам необходимо зарегистрироваться для просмотра ссылок

Как известно, бизнес-модель израильской компании StartCOM отличается от других центров сертификации: клиент платит только за человеческий труд, при этом машинный труд (автоматизированные процессы) для клиента бесплатны. Также у StartCOM существуют 4 уровня идентификации, при этом выдача сертификатов «внутри» уровня сертификации неограничена и бесплатна (т.к. сама выдача сертификата — полностью автоматический процесс, а вот проверку данных клиента не во всех случаях удается поручить машине).

Проверьте у себя в браузере правильность работы сертификата, если всё будет хорошо, то поставлю его на основной домен.

Сертификат сделан с запасом для 10 доменов и поддоменов (активен только test):

Спойлер: Список

dapf.ru
www. dapf.ru
donate.dapf.ru
ddos.dapf.ru
test.dapf.ru
forum.dapf.ru
portal.dapf.ru
game.dapf.ru
files.dapf.ru
img.dapf.ru

В разных браузерах работа сертификата выглядит следующим образом:

 

[RoBoT]

А как же letsencrypt ? давно уже сертификаты бесплатно выдаются и сервер по лабу на A+ настраивается, так же валидных во всех браузерах.
А с помощью утилиты настраивается автоматическая перевыдача раз в 3 месяца.

 

[X-ray]

А как же letsencrypt ? давно уже сертификаты бесплатно выдаются и сервер по лабу на A+ настраивается, так же валидных во всех браузерах.
А с помощью утилиты настраивается автоматическая перевыдача раз в 3 месяца.

StartCOM бесплатно на 3 года идет и до 10 поддоменов, думаю в таком случае автоматическая перевыдача отпадает.
Про А+ я не знал, сейчас почитаю.
[DOUBLEPOST=1478941504,1478941148][/DOUBLEPOST]Вооо протестировал

Вам необходимо зарегистрироваться для просмотра ссылок

Наш рейтинг F, буду повышать

[DOUBLEPOST=1478946280][/DOUBLEPOST]Повысил рейтинг до B, но из-за отсутствия модуля ssl_dhparam (Diffie-Hellman (DH) key exchange) в nginx не могу повысить рейтинг еще больше.

Пересоберу nginx и думаю дотяну рейтинг до А или А+ и можно ставить его на основной домен.

 

[Lucky]

На сколько я слышал тока хз о каком сертификате там кароч нада лабуду прикручивать чтобы он его продлял. Вроде на 3 месяца даеца и каким то хз скриптом можно продлевать. Я точно не скажу я краем уха слышал.

 

[X-ray]

Из-за ебанного NGINX пока отключил HTTS.
Вот почему новые версии nginx такие уебанские, что хуй установишь, неужели нельзя было сделать поддержу openssl из коробки?

Мудаки бля.

 

[RoBoT]

Из-за ебанного NGINX пока отключил HTTS.
Вот почему новые версии nginx такие уебанские, что хуй установишь, неужели нельзя было сделать поддержу openssl из коробки?

Мудаки бля.

еще не приходилось испытывать проблем при установке nginx ты как его ставишь то?
[DOUBLEPOST=1479027088,1479026705][/DOUBLEPOST]

На сколько я слышал тока хз о каком сертификате там кароч нада лабуду прикручивать чтобы он его продлял. Вроде на 3 месяца даеца и каким то хз скриптом можно продлевать. Я точно не скажу я краем уха слышал.

Да, именно, ставится

Вам необходимо зарегистрироваться для просмотра ссылок

настраивается конфиг и на крон раз в 2.5 месяца делать --renew --certonly и nginx reload и получается почти бесшовный перевыпуск

 

[X-ray]

еще не приходилось испытывать проблем при установке nginx ты как его ставишь то?

Вот так:

./configure --conf-path=/etc/nginx/nginx.conf \
--modules-path=/etc/nginx/modules \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=/var/log/nginx/error.log \
--lock-path=/var/lock/nginx.lock \
--pid-path=/var/run/nginx.pid \
--http-client-body-temp-path=/var/lib/nginx/body \
--http-fastcgi-temp-path=/var/lib/nginx/fastcgi \
--http-proxy-temp-path=/var/lib/nginx/proxy \
--http-scgi-temp-path=/var/lib/nginx/scgi \
--http-uwsgi-temp-path=/var/lib/nginx/uwsgi \
--with-openssl=/root/openssl-1.0.1t \
--with-http_ssl_module \
--with-http_dav_module \
--with-http_gzip_static_module \
--with-http_realip_module \
--with-http_stub_status_module \
--with-http_sub_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_v2_module \
--with-mail \
--with-mail_ssl_module \
--with-stream \
--with-stream_ssl_module \
--with-threads \
--add-dynamic-module=/root/echo-nginx-module-master

make всё собирает без ошибок, но после make install, which nginx нихуя не находит его.
Также нет каталогов site-enable, module-enable и т.д.
Пох в ручную всё посоздавал и запустил.
Белый экран вываливает, пофиксил, начал вываливать через раз 502, давай искать в чем причина.
Оказывается епанная утечка памяти в нем валит сокеты, поресобрал с другим openssl - перманентный 502.
Проепался с этими компиляциями и чтением манов 5-6 часов, в итоге не стал епаться дальше и откатился на старую версию 1.2.1 из репы (до этого была 1.8.0 - сам собирал).
Потом буду дальше тестировать, может на Tengine перейдем сразу. Меня сначала смутило только, что в нем выпилили SPDY (я думал SPDY это тренд), а оказывается его и в nginx выпилили, просто сейчас все переходят на HTTP/2 (замена SPDY) и уже 9% сайтов его поддерживает.

 

[RoBoT]

site-enable, module-enable более не нужны на новых версиях гникса, вместо них конфиг дефолта лежит в conf.d

spdy это гугловская тема для сжатия трафика, после того как они предоставили ее на конференции, было решено внедрить ее в реализацию httpv2 протокола, httpv2 не замена spdy, а лишь его реинкорнация, в основе лежит именно spdy. Мы даже API сервера перевели на httpv2, ибо теперь можно несколько запросов слать в одном потоке к серверу.

 

[X-ray]

угу, вот тоже решил попробовать httpv2
[DOUBLEPOST=1479061084,1479053335][/DOUBLEPOST]Решил еще попробовать обновить, чуть базу не снес
Серв пока потупит, а там разберемся.

 

[Lucky]

apt-get install nginx не по феншую?)

 

[X-ray]

apt-get install nginx не по феншую?)

Эти уебаны не включили поддержку openssl по умолчанию в пакеты.

 

[X-ray]

Епанный Трамп, опять нассал в подъезде, а я пол дня убил, чтобы выяснить, почему не работает NGINX.
Проверил несколько версий, проверил права, подключения и всё такое.
То 502, то белый экран.
И бляяяяя случайно обнаружил (вот пидоры, неужели нельзя было, где нибудь сразу написать в мануалах), что <? ?> теперь не работает и по умолчанию в новых версиях php используется ебучий <?php ?>, причем в логах сервера нигде ничего не пишется в плане ошибок.
Специально для пачанов, чтобы не епались как я с этой хуйней ( белый экран nginx ), надо в php.ini сделать short_open_tag=On, тогда <? ?> будет работать как раньше.

З.Ы. Сейчас всё нормально работает на тестовом сервере с debian 8. Я немного еще по проверяю различные новые функции PHP и NGINX, сделаю большой мануал по установке и настройке сервера на VPS для пачанов и начну переустановку ОС на сервере дапфа только уже с нормальной конфигурацией.

 

[Lucky]

красаф. но мне дебиан 8 не нрафки

 

[X-ray]

красаф. но мне дебиан 8 не нрафки

Мне тож, но на debian 7 сейчас одно старье, новые пакеты в основном порты кривые, я так пол сервака нашего убил из-за этого, хз как он еще работает.
На debian 8 более менее свежие стабильные пакеты идут, а они нам как раз и нужны, чтобы использовать новые функции (для XenForo нужны свежие версии, т.к. чуваки идут за трендом).

 

[Lucky]

там в 8ке апач какойто странный создает по дефолту папку html

 

[Habilis]

StartCOM бесплатно на 3 года идет и до 10 поддоменов, думаю в таком случае автоматическая перевыдача отпадает.
Про А+ я не знал, сейчас почитаю.
[DOUBLEPOST=1478941504,1478941148][/DOUBLEPOST]Вооо протестировал

Вам необходимо зарегистрироваться для просмотра ссылок

Наш рейтинг F, буду повышать
Посмотреть вложение 3269
[DOUBLEPOST=1478946280][/DOUBLEPOST]Повысил рейтинг до B, но из-за отсутствия модуля ssl_dhparam (Diffie-Hellman (DH) key exchange) в nginx не могу повысить рейтинг еще больше.
Посмотреть вложение 3268
Пересоберу nginx и думаю дотяну рейтинг до А или А+ и можно ставить его на основной домен.

...

Хабиля секси....

Создать папку если нету... потом
cd /etc/nginx/ssl/
потом
openssl dhparam -out dhparam.pem 4096 или 2048 (я пользую 2048)

в конфиге НгинХ
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /etc/nginx/ssl/dhparam.pem;

Рестарт НгинХ

Епанный Трамп, опять нассал в подъезде, а я пол дня убил, чтобы выяснить, почему не работает NGINX.
Проверил несколько версий, проверил права, подключения и всё такое.
То 502, то белый экран.
И бляяяяя случайно обнаружил (вот пидоры, неужели нельзя было, где нибудь сразу написать в мануалах), что <? ?> теперь не работает и по умолчанию в новых версиях php используется ебучий <?php ?>, причем в логах сервера нигде ничего не пишется в плане ошибок.
Специально для пачанов, чтобы не епались как я с этой хуйней ( белый экран nginx ), надо в php.ini сделать short_open_tag=On, тогда <? ?> будет работать как раньше.

...

По тому что сейчас 2005.....

 

[X-ray]

Эт всё понятно, у нас ssl_dhparam не поддерживается в nginx, т.к. версия старая была.

По тому что сейчас 2005.....

Потому, что долпаепы

 

[RoBoT]

Епанный Трамп, опять нассал в подъезде, а я пол дня убил, чтобы выяснить, почему не работает NGINX.
Проверил несколько версий, проверил права, подключения и всё такое.
То 502, то белый экран.
И бляяяяя случайно обнаружил (вот пидоры, неужели нельзя было, где нибудь сразу написать в мануалах), что <? ?> теперь не работает и по умолчанию в новых версиях php используется ебучий <?php ?>, причем в логах сервера нигде ничего не пишется в плане ошибок.
Специально для пачанов, чтобы не епались как я с этой хуйней ( белый экран nginx ), надо в php.ini сделать short_open_tag=On, тогда <? ?> будет работать как раньше.

З.Ы. Сейчас всё нормально работает на тестовом сервере с debian 8. Я немного еще по проверяю различные новые функции PHP и NGINX, сделаю большой мануал по установке и настройке сервера на VPS для пачанов и начну переустановку ОС на сервере дапфа только уже с нормальной конфигурацией.

я уже года 3 вижу, что шорт таки отключены в пхп. Еще с 5.3 были разговоры об устаревшей конструкции и планируется вырезать поддержку вовсе. Оставить только <?=?>. А насчет ошибок надо включать логирование полное, тогда в ошибках гникса вываливается ошибка фпм'а

 

[Habilis]

Эт всё понятно, у нас ssl_dhparam не поддерживается в nginx, т.к. версия старая была.

Потому, что долпаепы

я уже года 3 вижу, что шорт таки отключены в пхп. Еще с 5.3 были разговоры об устаревшей конструкции и планируется вырезать поддержку вовсе. Оставить только <?=?>. А насчет ошибок надо включать логирование полное, тогда в ошибках гникса вываливается ошибка фпм'а

По тому что сейчас 2005.....

...

Скрипт для установки НгинХ

Вам необходимо зарегистрироваться для просмотра ссылок

И нии*аться...