Esta puede ser una pregunta realmente tonta, pero tenía que asegurarme de que estoy de acuerdo con esto.
Configuré un servidor HTTPS con autenticación básica, pero el navegador me informa que la conexión no está segura cuando me conecto a la página de autenticación y me dice que la conexión está segura después de iniciar sesión. Quiero saber si esto es seguro. y si no, ¿cómo puedo asegurarlo?
Configuración (NGINX):
server {
listen 80;
server_name sub.example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name sub.example.com;
ssl_ceerificate (certpath);
ssl_certificate_key (certkeypath);
ssl_trusted_certificate (anotherpath);
ssl_dhparam (dhparam);
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA25$
ssl_ecdh_curve secp384r1;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block"
location / {
auth_basic 'Nothing to see here';
proxy_pass http://localhost:4000/;
}
}
Respuesta1
Su configuración parece estar bien; es el navegador el que se porta mal.
Su sitio fue redirigido correctamente a https y se le envió la solicitud de autenticación básica a través de https. Pero el navegador no actualizó la barra de direcciones antes de que apareciera el cuadro de diálogo. Curiosamente, pude ver este comportamiento tanto en Chrome como en Firefox. ¿Quizás esto se deba a que el navegador solicitó las credenciales antes (desde su perspectiva) de que se completara la carga de la página? Es una pregunta para los desarrolladores del navegador.