Разработчикам

HSTS на BitrixVM 7.5

Заглянувший

Сообщений: 1 Регистрация: 18.07.2021

18.07.2021 18:01:52

Доброго всем дня. Уже третий день сражаюсь с nginx и пытаюсь сделать так, чтобы активировать HSTS на сайте с BitrixVM. Может лыжи не едут, а может и у меня проблемы с умственным развитием. Может кто уже делал и сможет натолкнуть в нужном направлении.
Добавление заголовка

Код
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload;";

в файл /etc/nginx/bx/conf/ssl.conf ни к чему не приводит и заголовок не появляетсяТакая же история с файлами /etc/nginx/bx/site-avaliable/s1.conf и /etc/nginx/bx/site-avaliable/ssl.s1.conf (кстати, кто мне объяснит, почему папка называется avaLIable, а не avaILable?)
Если вкинуть заголовок в файл /etc/nginx/nginx.conf в область http{}, то https://hstspreload.org/ ругается, что заголовок объявлен в http, что логично. Я просто искренне не могу понять, где нужно прописать заголовок, чтобы оно наконец-то работало. Буду рад любой помощи, спасибо.

Пользователь 5111602

Заглянувший

Сообщений: 1 Регистрация: 30.04.2021

22.10.2021 11:28:42

Не знаю, может кому будет полезно:

я добавил в
\etc\nginx\bx\conf\bitrix_general.conf

в секции

Код
location ~* @.*\.html$ { ... add_header Strict-Transport-Security "max-age=31536000"; includeSubdomains; }

и у меня вроде бы заработало

Пользователь 306532

Постоянный посетитель

Сообщений: 99 Баллов: 17 Регистрация: 19.01.2015

24.02.2022 12:29:01

Цитата
написал: я добавил в \etc\nginx\bx\conf\bitrix_general.conf

А не работает у меня. Сайт перестает отвечать вообще, при внесении в данную секцию.
Какие есть варианты, т.к. сканирование битрикса выдает "Не используется HSTS заголовок".

Пользователь 1215547 Посетитель Сообщений: 29 Баллов: 5 Регистрация: 10.07.2017	#4 06.03.2022 14:20:59 Для того, чтобы заработало вставляем в файл /etc/nginx/bx/site_avaliable/bx_ext_ssl_vashsite.conf в секцию сервер: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Пользователь 306532 Постоянный посетитель Сообщений: 99 Баллов: 17 Регистрация: 19.01.2015	#5 14.03.2022 18:50:09 Илья Бурый, а нет у меня такого файла bx_ext_ssl_vashsite.conf Есть только nginx_server_status.conf, pool_manager.conf, push.conf, s1.conf и ssl.s1.conf. Секция сервер есть почти в каждом... Что посоветуете?

Пользователь 136059

Гуру

Сообщений: 5443 Баллов: 644 Регистрация: 16.07.2012

15.03.2022 08:58:52

Цитата
GYRYs написал: Что посоветуете?

Посмотреть соответствующий раздел в документации: https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=37&LESSON_ID=8879&LESSON_PATH=3908.8809.8877.8879

Цитата
/etc/nginx/bx/site_settings/<SITE_NAME>/ - персональные настройки конкретного сайта, начиная с версии BitrixVM 7.5 или бета версии 7.4.10 (например, /etc/nginx/bx/site_settings/site.com/myconfig.conf).

Голосуй за идеи по развитию API Bitrix:
https://idea.1c-bitrix.ru/26707/
https://idea.1c-bitrix.ru/26709/
https://idea.1c-bitrix.ru/the-local-extension-folder-js/

Пользователь 6258746 Заглянувший Сообщений: 1 Регистрация: 14.05.2022	#7 14.05.2022 14:31:01 Indicate the current password (bitrix) in the (current) UNIX password line and press Enter.

Пользователь 1023385

Посетитель

Сообщений: 48 Баллов: 9 Регистрация: 19.03.2017

18.05.2022 11:03:35

тоже борюсь с этой проблемой, пока не получается

/etc/nginx/bx/site_settings/default/bx_temp.conf

вношу правку:
location ~* @.*\.html$ {
internal;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

перезапускаю nginx и... сканер безопасности все равно видит проблему:
Не используется HSTS заголовок

пытался создать z_bx_custom.conf но с аналогичными правками в нем nginx даже не стартует

Цитата
Андрей Сопов написал: я добавил в \etc\nginx\bx\conf\bitrix_general.confв секцииКодlocation ~* @.*\.html$ { ... add_header Strict-Transport-Security "max-age=31536000"; includeSubdomains; }и у меня вроде бы заработало

не сработало

Цитата
GYRYs написал: нет у меня такого файла bx_ext_ssl_vashsite.conf

аналогично нет такого файла

помогите сообразить что не так?

Пользователь 1023385 Посетитель Сообщений: 48 Баллов: 9 Регистрация: 19.03.2017	#9 18.05.2022 11:21:19 Решено! создал файл /etc/nginx/bx/settings/ - конфигурационные файлы настроек для уровня http всего сервера (например, z_bx_custom.conf в нем строка add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; теперь все работает правильно!

Пользователь 66823 Заглянувший Сообщений: 9 Регистрация: 07.07.2010	#10 24.05.2022 11:00:44 Аналогичная проблема bitrixVM 7.5.0, в какой файл ни добавлял - краш сервера. Помогли техподы Заголовки указываются в файле /etc/nginx/bx/conf/general-add_header.conf

Пользователь 988219

Посетитель

Сообщений: 59 Баллов: 9 Регистрация: 03.03.2017

#11

28.07.2022 11:20:02

server {
server_name domain.ru www.domain.ru ;
listen твой_ip:443 ssl http2 ;

add_header Strict-Transport-Security "max-age=31536000" always;

Но строка добавлена в конфиги sate available на каждый субдомен. И так же у вас может не работать из "офиса" если развёрнут AD с таким же именем домена как и сайт (все упирается в локальный DNS на AD)

Пользователь 1703755 Посетитель Сообщений: 51 Баллов: 9 Регистрация: 26.01.2018	#12 14.09.2022 18:32:43 У меня сработало так: В файле /etc/nginx/bx/site_enabled/ssl.s1.conf add_header Strict-Transport-Security max-age=31536000; Прикрепленные файлы 2_img-2022-09-14-21-29-24.png (8.63 КБ)

Пользователь 233132

Заглянувший

Сообщений: 16 Баллов: 1 Регистрация: 28.02.2014

#13

12.11.2022 12:48:22

Создаем файл

Код
/etc/nginx/bx/settings/z_bx_custom.conf

Добавляем туда строку

Код
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Перезапускаем nginx

Код
systemctl restart nginx

Повторяем проверку сканером безопасности

Пользователь 6537570

Постоянный посетитель

Сообщений: 82 Баллов: 15 Регистрация: 10.10.2022

#14

12.11.2022 14:01:27

Цитата

написал:
Создаем файл

Код
/etc/nginx/bx/settings/z_bx_custom.conf

Добавляем туда строку

Код
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Перезапускаем nginx

Код
systemctl restart nginx

Повторяем проверку сканером безопасности

Или как вариант в ".htaccess" добавить:

Код
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" </IfModule>

Пользователь 5508798

Заглянувший

Сообщений: 1 Регистрация: 20.08.2021

#15

22.02.2023 07:47:25

Цитата

написал:
Создаем файл

Код
/etc/nginx/bx/settings/z_bx_custom.conf

Добавляем туда строку

Код
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Перезапускаем nginx

Код
systemctl restart nginx

Повторяем проверку сканером безопасности

Спасибо, помогло!

Пользователь 5114520 Заглянувший Сообщений: 11 Баллов: 1 Регистрация: 18.03.2021	#16 17.03.2023 14:58:37 Добавлял add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; в /etc/nginx/bx/conf/general-add_header.conf и перезапускал nginx через systemctl restart nginx

Пользователь 7438184

Заглянувший

Сообщений: 7 Регистрация: 23.07.2023

#17

14.08.2023 06:09:33

Цитата

написал:
Создаем файл

Код
/etc/nginx/bx/settings/z_bx_custom.conf

Добавляем туда строку

Код
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Перезапускаем nginx

Код
systemctl restart nginx

Повторяем проверку сканером безопасности

Попробовал повторить, в итоге лезут ошибки:

Код

nginx: [emerg] cannot load certificate key "/etc/nginx/ssl/cert.pem": PEM_read_bio_PrivateKey() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: ANY PRIVATE KEY)
nginx: configuration file /etc/nginx/nginx.conf test failed

Уже все перепробовал, в конфигах все нормально, сертификаты пробовал переустанавливать, но он почему то ожидает в сертификате увидеть закрытый ключ. Почему так может быть?

Пользователь 7438184

Заглянувший

Сообщений: 7 Регистрация: 23.07.2023

#18

14.08.2023 17:41:11

Цитата

написал:

Цитата

написал:
Создаем файл

Код
/etc/nginx/bx/settings/z_bx_custom.conf

Добавляем туда строку

Код
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Перезапускаем nginx

Код
systemctl restart nginx

Повторяем проверку сканером безопасности

Попробовал повторить, в итоге лезут ошибки:

Код

 nginx: [emerg] cannot   load  certificate  key   "/etc/nginx/ssl/cert.pem" : PEM_read_bio_PrivateKey() failed (SSL: error: 0909006 C:PEM routines:get_name: no   start  line:Expecting:  ANY  PRIVATE  KEY )
nginx: configuration file /etc/nginx/nginx.conf test failed

Сам сломал, сам починил. Запустил поиск на серваке, нашел все совпадения в файлах конфигураций, в одном месте было прописано не то что нужно

Код
grep -R "ssl_certificate\\|ssl_certificate_key\\|ssl_client_certificate" /etc/nginx/

Пользователь 7438184

Заглянувший

Сообщений: 7 Регистрация: 23.07.2023

#19

14.08.2023 17:48:35

Помог вот этот код добавленный в .htaccess

Код
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" </IfModule>

Пользователь 1063213

Посетитель

Сообщений: 56 Баллов: 8 Регистрация: 05.04.2017

#20

22.12.2023 11:55:42

Цитата
написал: кстати, кто мне объяснит, почему папка называется avaLIable, а не avaILable?

Я только что из-за этого потерял 1 час времени. Не задумываясь пишу "available", а у них там avaliable. Решил проверить, кто это ещё заметил, а поиск по форуму выдал только ваш пост

Пользователь 5715782

Заглянувший

Сообщений: 8 Баллов: 1 Регистрация: 02.11.2021

#21

28.11.2024 10:48:28

Цитата

написал:
Помог вот этот код добавленный в .htaccess

Код
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" </IfModule>

Подтверждаю, это работает

Пользователь 901959 Постоянный посетитель Сообщений: 183 Баллов: 33 Регистрация: 28.12.2017	#22 28.11.2024 14:32:38 А разве тоже самое не делается через menu.sh в настройках сайта? S - Only HTTPS access to the server (N = turned off, Y = turned on)

HSTS на BitrixVM 7.5

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером