01.11.2024

Linux

Безопасность

Как перенаправить HTTP на HTTPS в Linux с помощью Nginx (Полное руководство)

Защита вашего веб-сайта с помощью HTTPS больше не является опциональной — это фундаментальное требование для защиты данных пользователей, поддержания доверия и достижения высоких рейтингов SEO. Поисковые системы, такие как Google, активно штрафуют незашифрованные сайты HTTP, а современные браузеры помечают их как «Небезопасно». Перенаправление всего трафика HTTP на HTTPS гарантирует, что каждый посетитель автоматически попадает на зашифрованную версию вашего сайта без каких-либо ручных действий.

Это подробное руководство проведет вас через весь процесс: понимание различий между HTTP и HTTPS, установка бесплатного SSL-сертификата через Let’s Encrypt, настройка постоянного перенаправления 301 в Nginx и проверка того, что все работает правильно на вашем сервере Linux.

Содержание

HTTP и HTTPS: в чем разница?
Предварительные требования
Шаг 1: Установка SSL-сертификата с помощью Let’s Encrypt
Шаг 2: Настройка Nginx для перенаправления HTTP на HTTPS
Шаг 3: Проверка конфигурации Nginx
Шаг 4: Перезагрузка Nginx для применения изменений
Шаг 5: Проверка работы перенаправления
Распространенные проблемы и устранение неполадок
Заключение

1. HTTP и HTTPS: в чем разница? {#http-vs-https}

Прежде чем переходить к конфигурации, важно понять, почему это перенаправление имеет значение.

HTTP (Hypertext Transfer Protocol)

HTTP — это основной протокол, используемый для передачи данных между веб-браузером и сервером. Однако он передает все данные в открытом виде, что означает, что любая информация — учетные данные для входа, платежные реквизиты, личные данные — может быть перехвачена злоумышленниками с помощью атаки «человек посередине» (MITM). HTTP не предоставляет гарантий шифрования, аутентификации или целостности данных.

HTTPS (HTTP Secure)

HTTPS — это безопасное расширение HTTP. Оно оборачивает стандартный протокол HTTP в шифрование SSL/TLS, создавая зашифрованный туннель между клиентом и сервером. Это обеспечивает:

Конфиденциальность — данные не могут быть прочитаны третьими лицами при передаче.
Целостность — данные не могут быть изменены при передаче.
Аутентификация — пользователи могут проверить, что они взаимодействуют с законным сервером.
Преимущество SEO — Google использует HTTPS как сигнал ранжирования, давая защищенным сайтам измеримое преимущество.
Доверие браузера — Chrome, Firefox и Edge отображают значок замка для сайтов HTTPS и предупреждение «Небезопасно» для сайтов HTTP.

Суть: запуск веб-сайта без HTTPS в современной среде — это серьезный риск безопасности и бизнеса.

2. Предварительные требования {#prerequisites}

Перед тем как следовать этому руководству, убедитесь, что у вас есть следующее:

Сервер Linux (Ubuntu 20.04/22.04, Debian 11/12 или аналогичный) с запущенным Nginx
Зарегистрированное доменное имя, указывающее на IP-адрес вашего сервера
Доступ root или sudo к вашему серверу
Базовое знакомство с командной строкой Linux

Если вы ищете надежную среду сервера для размещения вашего веб-сайта, VPS Hosting от AlexHost предоставляет полностью управляемые и неуправляемые планы Linux VPS, оптимизированные для веб-приложений, с хранилищем SSD и высокодоступной сетью.

Вам также потребуется действительный SSL-сертификат. В этом руководстве используется бесплатный сертификат Let’s Encrypt через Certbot. Если вам требуется сертификат с расширенной проверкой (EV) или проверкой организации (OV) для деловых целей, рассмотрите возможность изучения SSL-сертификатов от AlexHost.

3. Шаг 1: Установка SSL-сертификата с помощью Let’s Encrypt {#install-ssl}

Let’s Encrypt — это бесплатный, автоматизированный и открытый центр сертификации. Certbot — это официальный клиент, который автоматизирует процесс получения и обновления SSL/TLS-сертификатов от Let’s Encrypt и настройки вашего веб-сервера.

Установка Certbot и плагина Nginx

Обновите индекс пакетов и установите Certbot вместе с плагином Nginx:

sudo apt update
sudo apt install certbot python3-certbot-nginx -y

Получение и установка вашего SSL-сертификата

Запустите Certbot с флагом –nginx для автоматического получения сертификата и настройки Nginx для его использования:

sudo certbot --nginx -d example.com -d www.example.com

Замените example.com на ваше фактическое доменное имя. Certbot будет:

Проверить владение доменом через ACME-вызов
Получить подписанный сертификат от Let’s Encrypt
Автоматически изменить конфигурацию Nginx для включения HTTPS на порту 443
Опционально настроить автоматическое перенаправление HTTP на HTTPS (вы можете пропустить этот шаг в Certbot и настроить его вручную, как показано ниже, для полного контроля)

Включение автоматического обновления сертификата

Сертификаты Let’s Encrypt истекают каждые 90 дней. Certbot устанавливает таймер systemd или задание cron для автоматической обработки обновлений. Проверьте, что он активен:

sudo systemctl status certbot.timer

Вы также можете выполнить тестовое обновление:

sudo certbot renew --dry-run

4. Шаг 2: Настройка Nginx для перенаправления HTTP на HTTPS {#configure-nginx}

После установки SSL-сертификата вам необходимо настроить Nginx для постоянного перенаправления всего трафика HTTP (порт 80) на HTTPS (порт 443). Это делается с помощью перенаправления 301 Moved Permanently, которое является правильным типом перенаправления для SEO — оно передает вес ссылки на версию HTTPS ваших страниц.

Откройте конфигурацию блока сервера Nginx

Конфигурации сайтов Nginx обычно хранятся в /etc/nginx/sites-available/. Откройте файл конфигурации для вашего домена:

sudo nano /etc/nginx/sites-available/example.com

Настройка блока перенаправления HTTP на HTTPS

Ваш файл конфигурации будет содержать один или несколько блоков server. Найдите блок, который прослушивает порт 80 (HTTP), и замените или обновите его следующим правилом перенаправления:

server {
    listen 80;
    listen [::]:80;
    server_name example.com www.example.com;

    # Permanently redirect all HTTP requests to HTTPS
    return 301 https://$host$request_uri;
}

Ваш блок сервера HTTPS (порт 443), который Certbot, вероятно, настроил автоматически, должен выглядеть примерно так:

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    root /var/www/example.com/html;
    index index.html index.php;

    location / {
        try_files $uri $uri/ =404;
    }
}

> Почему использовать return вместо rewrite?

> Директива return быстрее и эффективнее, чем правило rewrite. Она немедленно возвращает ответ перенаправления без необходимости Nginx обрабатывать дополнительные блоки location, снижая нагрузку на сервер и улучшая время отклика.

Понимание директивы перенаправления

Компонент	Объяснение
listen 80;	Nginx прослушивает входящие соединения на HTTP-порту 80
listen [::]:80;	Включает поддержку IPv6 на порту 80
server_name example.com www.example.com;	Определяет, к каким доменным именам применяется этот блок
return 301	Выдает постоянное перенаправление (лучше всего для SEO)
$server_name	Сохраняет исходное имя хоста в перенаправлении
$request_uri	Сохраняет полный исходный путь URI и строку запроса

5. Шаг 3: Проверка конфигурации Nginx {#test-nginx}

Никогда не перезагружайте и не перезапускайте Nginx без предварительной проверки конфигурации. Синтаксическая ошибка в файле конфигурации приведет к сбою Nginx, отключив ваш веб-сайт.

Запустите встроенный тест конфигурации Nginx:

sudo nginx -t

Успешный тест выдает следующий результат:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Если вы видите какие-либо ошибки, внимательно просмотрите результат. Nginx указывает файл и номер строки, где была обнаружена проблема. Распространенные проблемы включают:

Отсутствующие точки с запятой в конце директив
Незакрытые фигурные скобки {}
Неправильные пути к файлам SSL-сертификатов
Дублирующиеся записи server_name

Исправьте все сообщенные ошибки перед продолжением.

6. Шаг 4: Перезагрузка Nginx для применения изменений {#reload-nginx}

После успешного прохождения теста конфигурации перезагрузите Nginx для применения ваших изменений. Использование reload вместо restart предпочтительнее, так как оно применяет новую конфигурацию плавно без разрыва активных соединений:

sudo systemctl reload nginx

Чтобы убедиться, что Nginx работает правильно после перезагрузки:

sudo systemctl status nginx

Вы должны увидеть active (running) в результате.

7. Шаг 5: Проверка работы перенаправления {#verify-redirect}

После перезагрузки Nginx пришло время подтвердить, что перенаправление работает правильно.

Метод 1: Тест в браузере

Откройте веб-браузер.
Перейдите на http://example.com (используя HTTP, а не HTTPS).
Убедитесь, что браузер автоматически перенаправляет вас на https://example.com.
Подтвердите, что в адресной строке появляется значок замка, указывающий на действительное SSL-соединение.

Метод 2: Тест командной строки с curl

Используйте curl с флагом -I для получения только HTTP-заголовков ответа без загрузки тела страницы:

curl -I http://example.com

Правильно настроенное перенаправление выдает следующий ответ:

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Mon, 01 Jan 2025 12:00:00 GMT
Content-Type: text/html
Location: https://example.com/
Connection: keep-alive

Ключевые индикаторы для проверки:

Код состояния 301 — подтверждает наличие постоянного перенаправления.
Location: https://example.com — подтверждает, что трафик перенаправляется на версию HTTPS.

Метод 3: Онлайн-проверка перенаправления

Вы также можете использовать бесплатные онлайн-инструменты, такие как redirect-checker.org или httpstatus.io, для отслеживания полной цепочки перенаправления и подтверждения отсутствия циклов перенаправления или ненужных переходов.

8. Распространенные проблемы и устранение неполадок {#troubleshooting}

Цикл перенаправления

Симптом: браузер отображает ошибку «Слишком много перенаправлений».

Причина: ваш блок сервера HTTPS также запускает перенаправление обратно на HTTP, создавая бесконечный цикл.

Решение: убедитесь, что директива return существует только в блоке HTTP (порт 80), а не в блоке HTTPS (порт 443).

Предупреждения о смешанном содержимом

Симптом: значок замка показывает предупреждение даже после работы перенаправления.

Причина: ваши HTML-страницы по-прежнему ссылаются на ресурсы HTTP (изображения, скрипты, таблицы стилей) с использованием URL-адресов http://.

Решение: обновите все внутренние URL-адреса ресурсов для использования https:// или URL-адресов, независимых от протокола (//example.com/image.png). Используйте плагин, такой как Really Simple SSL, для сайтов WordPress.

SSL-сертификат не найден

Симптом: Nginx не запускается с ошибкой о отсутствии файлов сертификата.

Причина: пути, указанные в ssl_certificate и ssl_certificate_key, не совпадают с фактическими местоположениями файлов сертификата.

Решение: проверьте пути сертификатов с помощью:

sudo ls /etc/letsencrypt/live/example.com/

Ошибка обновления Certbot

Симптом: автоматическое обновление не удается с ошибкой соединения.

Сэкономьте 15% на всех хостинговых услугах