Esta pode ser uma pergunta muito idiota, mas eu tinha que ter certeza de que estou bem com isso.
Configurei um servidor HTTPS com autenticação básica, mas o navegador me informa que a conexão não está segura quando me conecto à página de autenticação e informa que a conexão está segura depois que eu faço login. e se não, como posso protegê-lo?
Configuração (NGINX):
server {
listen 80;
server_name sub.example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name sub.example.com;
ssl_ceerificate (certpath);
ssl_certificate_key (certkeypath);
ssl_trusted_certificate (anotherpath);
ssl_dhparam (dhparam);
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA25$
ssl_ecdh_curve secp384r1;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block"
location / {
auth_basic 'Nothing to see here';
proxy_pass http://localhost:4000/;
}
}
Responder1
Sua configuração parece boa; é o navegador que está se comportando mal.
Seu site foi redirecionado corretamente para https e a solicitação de autenticação básica foi enviada a você por https. Mas o navegador não atualizou a barra de endereço antes de abrir a caixa de diálogo. Curiosamente, consegui ver esse comportamento tanto no Chrome quanto no Firefox. Talvez seja porque o navegador solicitou as credenciais antes (de sua perspectiva) de o carregamento da página ser concluído? É uma pergunta para os desenvolvedores de navegadores.