Magento – Nginx – Configurando o SSL nota A

Configurando o NGINX para trabalhar em normativa de SSL com segurança.

Os comentários estão no próprio arquivo de configuração, caso seja necessário mais explicações por favor deixe um comentário.

Para verificar se suas configurações de SSL forem bem realizadas você pode usar o checker da GlobalSign.

Site: https://sslcheck.globalsign.com/en_US

A configuração abaixo está usando o www.globsecure.com.br porém o mesmo não está configurado para uso de Nginx esse usa Apache.

Essa configuração foi testada e usada em um servidor Jelastic da locaweb.

{

#Portas
 listen 443;
 listen 80;

 #Alias
 server_name www.globsecure.com.br;

 #Diretorio
 root /var/www/webroot;

 #SSL - Ativar
 ssl on;
 ssl_certificate /etc/nginx/ssl/globsecure-exemplo.crt;
 ssl_certificate_key /etc/nginx/ssl/globsecure-exemplo.com.br.key;
 ssl_session_timeout 4h;

 #SSL - Desativar SSLv3 para evitar POODLE - http://en.wikipedia.org/wiki/POODLE
 ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

 #A cifra recomendada para compatibilidade com versões anteriores (IE6 / WinXP):
 ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

 #Certifique-se também adicionar estas linhas:
 #O objetivo é força o uso da cifra do servidor e não do cliente.
 ssl_prefer_server_ciphers on;
 ssl_session_cache shared:SSL:20m;

 # Habilitar forçando que o navegador se comunique apenas com sites HTTPS
 add_header Strict-Transport-Security max-age=63072000;

 # Habilitar essa opção evita que o site seja usado em iframe em outros sites
 # evitando ataques do tipo clickjacking - http://pt.wikipedia.org/wiki/Clickjacking
 add_header X-Frame-Options DENY;

 # Evita que o IE e o Chrome usem sniffer MIME
 add_header X-Content-Type-Options nosniff;

 # Armazena a informação sobre as sessões SSL/TSL especificos.
 ssl_session_tickets on;

 #OCSP Stapling
 #Outra maneira de melhorar o desempenho de HTTPS é com OCSP stapling,
 #o que diminui o tempo do SSL / TLS.
 ssl_stapling on;
 ssl_stapling_verify on;
 resolver 8.8.4.4 8.8.8.8 valid=300s;
 resolver_timeout 10s;
 ssl_trusted_certificate /etc/nginx/ssl/globsecure-exemplo.com.br.pem;

 #Comprimir dados
 gzip on;
 gzip_disable "MSIE [1-6].(?!.*SV1)";
 gzip_vary on;
 gzip_proxied any;
 gzip_comp_level 6;
 gzip_buffers 16 8k;
 gzip_http_version 1.1;
 gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

 ##
 # Reescreva para Versioned CSS+JS por tempo de vida
 ##
 location ~* ^.+\.(css|js)$ {
 rewrite ^(.+)\.(\d+)\.(css|js)$ $1.$3 last;
 expires 31536000s;
 access_log off;
 log_not_found off;
 add_header Pragma public;
 add_header Cache-Control "max-age=31536000, public";
 }

 ##
 # Cache agressivo para arquivos estáticos
 # Se você altera arquivos estáticos muitas vezes por favor use:
 # add_header Cache-Control "max-age=31536000, public, must-revalidate, proxy-revalidate";
 ##
 location ~* \.(asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|odb|odc|odf|odg|odp|ods|odt|ogg|ogv|otf|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|t?gz|tif|tiff|ttf|wav|webm|wma|woff|wri|xla|xls|xlsx|xlt|xlw|zip)$ {
 expires 31536000s;
 access_log off;
 log_not_found off;
 add_header Pragma public;
 add_header Cache-Control "max-age=31536000, public";
 }

 ##
 # Se o usuário acessar globsecure.com.br redirecionar para www.globsecure.com.br
 ##
 if ($host !~* ^www\.) {
 rewrite ^(.*)$ http://www.$host$1 permanent;
 }

 ##
 # Não salvar requisições ao robots.txt
 ##
 location /robots.txt {
 allow all;
 log_not_found off;
 access_log off;
 }

 # error páginas
 error_page 404 /404.html;
 location = /404.html {
 root /var/www/webroot/loja;
 }

 # erros interno - Os meus HTML ficam na raiz
 error_page 500 502 503 504 /50x.html;
 location = /50x.html {
 root /var/www/webroot/loja;
 }

## Estes locais têm de ser negado
 location ^~ /app/ { deny all; }
 location ^~ /includes/ { deny all; }
 location ^~ /lib/ { deny all; }
 location ^~ /media/downloadable/ { deny all; }
 location ^~ /pkginfo/ { deny all; }
 location ^~ /report/config.xml { deny all; }
 location ^~ /var/ { deny all; }

 ## Geral
 location / {
 index index.html index.php;
 ## Se falta passar o URI para manipulador de frente do Magento
 try_files $uri $uri/ @handler;
 expires 30d; ##Ativar max FileCache
 }

 ## Magento usa um manipulador frente comum
 location @handler {
 rewrite / /index.php;
 }

## Caminhos para a frente como para /js/index.php/x.js manipulador relevante
 location ~ .php/ {
 rewrite ^(.*.php)/ $1 last;
 }

# nega arquivos .htaccess
 location ~ /\. {
 deny all;
 access_log off;
 log_not_found off;
 }

 ## php-fpm análise
 location ~ .php$ {

## 404s de captura que try_files perder
 if (!-e $request_filename) { rewrite / /index.php last; }

## Desativar o cache para arquivos PHP
 expires off;

## php-fpm configuration
 fastcgi_pass 127.0.0.1:9000;
 fastcgi_index index.php;
 fastcgi_param SERVER_PORT 80;
 fastcgi_param HTTPS $fastcgi_https;

 fastcgi_param SCRIPT_FILENAME /var/www/webroot/loja$fastcgi_script_name;
 include fastcgi_params;

## Código de loja está localizada em Administração> Configuração> Gerenciar Stores em sua instalação Magento.
 fastcgi_param MAGE_RUN_CODE default;
 fastcgi_param MAGE_RUN_TYPE store;

## Tweak buffers FastCGI, apenas no caso.
 fastcgi_buffer_size 128k;
 fastcgi_buffers 256 4k;
 fastcgi_busy_buffers_size 256k;
 fastcgi_temp_file_write_size 256k;
 }

 rewrite ^/minify/([0-9]+)(/.*.(js|css))$ /lib/minify/m.php?f=$2&d=$1 last;
 rewrite ^/skin/m/([0-9]+)(/.*.(js|css))$ /lib/minify/m.php?f=$2&d=$1 last;
}
2017-01-24T20:24:06+00:00

RECEBA DICAS VALIOSAS NO SEU EMAIL

x