How to Improve SEO with HTTPS and NGINX

Maxim Dounin mdounin на mdounin.ru
Вс Сен 16 23:42:17 UTC 2018


Hello!

On Sat, Sep 15, 2018 at 06:20:40PM +0300, Gena Makhomed wrote:

> On 11.09.2018 6:21, Maxim Dounin wrote:
> 
> >>>>     ssl_stapling on;
> >>>>     ssl_stapling_verify on;
> >>>>     resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;
> 
> >>> Just a side note: использование сторонних DNS-серверов - это
> >>> плохое решение.  Цитируя документацию:
> 
> >>> : Для предотвращения DNS-спуфинга рекомендуется использовать
> >>> : DNS-серверы в защищённой доверенной локальной сети.
> 
> >> Разве сервера 8.8.8.8, 1.1.1.1 и 9.9.9.9 подвержены атаке DNS spoofing?
> >> https://en.wikipedia.org/wiki/DNS_spoofing
> 
> > Речь не о том, подвержены ли эти сервера атакам.  Речь о том, что
> > при использовании не-локальных DNS-серверов в некотороых случаях
> > становятся возможны атаки на resolver nginx'а, так как он общается
> > с удалённым DNS-сервером - то есть, фактически, открыт для всего
> > мира с точностью до номера порта и 16-битного query id, ибо
> > spoofing IP-адреса в UDP-пакетах проблемы не представляет.
> 
> Кстати, на сайте www.nginx.com предлагается использовать
> в конфиге ресолверы 8.8.8.8 и 8.8.4.4. Вот в этой статье:
> 
> https://www.nginx.com/blog/improve-seo-https-nginx/
> How to Improve SEO with HTTPS and NGINX
> 
> ssl_stapling on;
> ssl_stapling_verify on;
> ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
> resolver 8.8.8.8 8.8.4.4 valid=300s;

Наши маркетологи - к сожалению, далеко не всегда пишут то, что 
действительно стоит использовать.

> Если включено ssl_stapling_verify on; - тогда вроде бы нет проблем
> с DNS-спуфингом, поскольку nginx будет отбрасывать те OCSP-ответы,
> которые он не сможет проверить и уязвимости в данном случае не будет?

Не стоит путать отсутствие проблем и наличие механизма, 
позволяющего минимизировать ущерб.

-- 
Maxim Dounin
http://mdounin.ru/


Подробная информация о списке рассылки nginx-ru