Проблемы с изображениями NGINX SSL

0

1

Здравствуйте.
Сайт нормально работал, пока не поставил сертификат SSL.
Работал как прокси NGINX apache2
Сейчас сайт грузится, но браузер сообщает, что «Часть страницы (изображения) не защищены»
https://jihoz-vent.uz
Вот конфиги NGINX

server {
    listen 80;
    return 301 https://$host$request_uri;
}
server {
listen 443;
#listen [::]:80 default_server;
server_name jihoz-vent.uz;
#access_log /var/log/nginx.access_log;
ssl_certificate           /etc/nginx/ssl/Certificate.crt;
ssl_certificate_key       /etc/nginx/ssl/private/Privatekey.crt;
ssl on;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
location ~* \.(jpg|jpeg|gif|png|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|tar|wav|bmp|rtf|swf|ico|flv|txt|xml|docx|xlsx)$ {
root /var/www/html/;
index index.html index.php;
access_log off;
expires 30d;
}
location ~ /\.ht {
deny all;
}
location / {
proxy_pass http://127.0.0.1:81/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-for $remote_addr;
proxy_set_header Host $host;
proxy_connect_timeout 60;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_redirect off;
proxy_set_header Connection close;
proxy_pass_header Content-Type;
proxy_pass_header Content-Disposition;
proxy_pass_header Content-Length;
}

http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_session_cache   shared:SSL:10m;
ssl_session_timeout 5m;
ssl_stapling on;

gzip on;
gzip_disable "msie6";

gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
}

Подскажите пожалуйста, что не так? Спасибо!

Ссылка

←	Общая папка на несколько пользователей, NFS, all_squash, anonuid/anongid и firejail/chroot

Пускать клиентов роутера через другой default route

→

То есть, проблемы 1. Настройками конфигов NGINX 2. Проблемы с прописанием абсолютных/относительных путей к скриптам и к кариткам. Что из этих двух? Или что то другое?

rafaello ★
(11.03.18 09:30:34 MSK) автор топика

Ссылка

Решаешь проблемы в твоем приложении, в котором cкорей всего используются ссылки с http.

anonymous_sama ★★★★★
(11.03.18 09:37:06 MSK)

Ответ на: комментарий от anonymous_sama 11.03.18 09:37:06 MSK

то бишь, NGINX я настроил правильно?

rafaello ★
(11.03.18 09:39:56 MSK) автор топика

100% проблема в том, что часть ресурсов сайта грузится по http вместо https. Поправь ссылки и проблема исчезнет

CrazyTentacle
(11.03.18 09:41:12 MSK)

Ссылка

Ответ на: комментарий от rafaello 11.03.18 09:39:56 MSK

На сайте пути у тебя с картинками. Т.е. исправляешь в WP, если конечно при generator WordPress 4.8.5, WP действительно используется. Т.е. чаще всего ты исправлешь пусти с http:// на // или https://

anonymous_sama ★★★★★
(11.03.18 09:46:06 MSK)

Ответ на: комментарий от anonymous_sama 11.03.18 09:46:06 MSK

Спасибо всем! Я просто переживал, что проблемы с настройкой NGINX.

rafaello ★
(11.03.18 10:06:58 MSK) автор топика

Ссылка

Ответ на: комментарий от rafaello 11.03.18 09:39:56 MSK

Скорее всего. но отступы в конфиг ты всё же добавь

MrClon ★★★★★
(11.03.18 12:38:57 MSK)

Ответ на: комментарий от MrClon 11.03.18 12:38:57 MSK

Господин хороший!
Если вы про это, что надо добавить в конфиг апача

SetEnvIf X-Forwarded-Proto https HTTPS=on

то я это сделал. Без него был вечный редирект в браузере.

anonymous
(11.03.18 14:47:58 MSK)

Ответ на: комментарий от anonymous 11.03.18 14:47:58 MSK

Нет, я про оформление кода конфига без отбивки блоков пробелами или табами. Читать ведь неудобно

MrClon ★★★★★
(11.03.18 16:06:26 MSK)

Ссылка

https://prnt.sc/ipnzpb
все изображения у тебя грузятся c https:// кроме выделенного на скрине. как только оно будет тоже с https:// проблема решится.
/thread

shashilx ★★
(11.03.18 16:16:39 MSK)

Ссылка

Я смотрю, что у тебя WP. Тогда проще всего тебе поставить этот плагин и разобраться с его настройками — https://ru.wordpress.org/plugins/ssl-insecure-content-fixer/

Ну а потом, по надобности, донастроить nginx .

~~Twissel~~ ★★★★★
(11.03.18 16:26:00 MSK)

Ответ на: комментарий от Twissel 11.03.18 16:26:00 MSK

При чем тут nginx, если проблема тупо с абсолютными ссылками на http://... ???

Nastishka ★★★★★
(11.03.18 22:32:02 MSK)

Ответ на: комментарий от Nastishka 11.03.18 22:32:02 MSK

Повторяю для тех, кто читает невнимательно

по надобности

И донастроить в данном случае никак не связано с решением проблемы ТС.

Под этим подразумевалась оптимизация конфига nginx сама по себе под конкретные кеширующие плагины и прочие нужды ТС.

~~Twissel~~ ★★★★★
(11.03.18 22:36:49 MSK)

Ответ на: комментарий от Twissel 11.03.18 22:36:49 MSK

г-н Twissel
На ваш взгляд, какие бы донастройки вы рекомендовали в вышеприведенном конфиге nginx?

rafaello ★
(12.03.18 16:32:52 MSK) автор топика

Ответ на: комментарий от rafaello 12.03.18 16:32:52 MSK

Судя по этим результатам я бы создал файл dhparam.pem достаточной разрядности. Например, 4096 бит.

Такой командой

sudo openssl dhparam -out /etc/pki/nginx/dhparam.pem 4096

И прописал бы его в конфиге так

ssl_dhparam /etc/pki/nginx/dhparam.pem

Данный файл — «ключ Диффи-Хеллмана» (в действительности, какое-то простое число размером 4096 бит) используется при создании сеансовых ключей, во время установления защищенного соединения.

https://habrahabr.ru/company/dsec/blog/258457/

~~Twissel~~ ★★★★★
(12.03.18 18:29:37 MSK)
Последнее исправление: Twissel 12.03.18 18:37:14 MSK (всего исправлений: 5)