Das ist vielleicht eine wirklich dumme Frage, aber ich musste sicherstellen, dass ich damit einverstanden bin.
Ich habe einen HTTPS-Server mit Basisauthentifizierung eingerichtet, aber der Browser informiert mich, dass die Verbindung nicht gesichert ist, wenn ich mich mit der Authentifizierungsseite verbinde, und teilt mir mit, dass die Verbindung gesichert ist, nachdem ich mich angemeldet habe. Ich möchte wissen, ob dies sicher ist, und wenn nicht, wie ich es sichern kann?
Konfiguration (NGINX):
server {
listen 80;
server_name sub.example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name sub.example.com;
ssl_ceerificate (certpath);
ssl_certificate_key (certkeypath);
ssl_trusted_certificate (anotherpath);
ssl_dhparam (dhparam);
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA25$
ssl_ecdh_curve secp384r1;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block"
location / {
auth_basic 'Nothing to see here';
proxy_pass http://localhost:4000/;
}
}
Antwort1
Ihre Konfiguration scheint in Ordnung zu sein. Das Problem liegt beim Browser.
Ihre Site wurde korrekt auf https umgeleitet und die grundlegende Authentifizierungsanforderung wurde Ihnen über https gesendet. Der Browser hat die Adressleiste jedoch nicht aktualisiert, bevor das Dialogfeld angezeigt wurde. Interessanterweise konnte ich dieses Verhalten sowohl bei Chrome als auch bei Firefox beobachten. Vielleicht liegt das daran, dass der Browser nach den Anmeldeinformationen gefragt hat, bevor (aus seiner Sicht) das Laden der Seite abgeschlossen war? Das ist eine Frage für die Browserentwickler.