Đây có thể là một câu hỏi thực sự ngu ngốc nhưng tôi phải chắc chắn rằng tôi ổn với điều này.
Tôi thiết lập máy chủ HTTPS với xác thực cơ bản, nhưng trình duyệt thông báo cho tôi rằng kết nối không được bảo mật khi tôi kết nối với trang xác thực và cho tôi biết rằng kết nối được bảo mật sau khi tôi đăng nhập. Tôi muốn biết liệu điều này có an toàn không, và nếu không, làm thế nào tôi có thể làm cho nó được bảo mật?
Cấu hình (NGINX):
người phục vụ {
nghe 80;
server_name sub.example.com;
trả về 301 https://$server_name$request_uri;
}
người phục vụ {
nghe 443 ssl http2;
server_name sub.example.com;
ssl_ceerificate (đường dẫn chứng chỉ);
ssl_certificate_key (đường dẫn chứng chỉ);
ssl_trusted_certificate (đường dẫn khác);
ssl_dhparam (dhparam);
ssl_protocols TLSv1.2 TLSv1.3;
bật ssl_prefer_server_ciphers;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-$GCM
ssl_ecdh_curve secp384r1;
ssl_session_timeout 10 phút;
ssl_session_cache được chia sẻ:SSL:10m;
tắt ssl_session_tickets;
ssl_bật ghim;
ssl_stapling_verify bật;
add_header X-Content-Type-Options "nosniff" luôn;
add_header X-Frame-Options luôn luôn "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block"
địa điểm / {
auth_basic 'Không có gì để xem ở đây';
proxy_pass http://localhost:4000/;
}
}
Ảnh chụp màn hình
