Можно ли отключить https на определённом адресе?

Question

[romnovi]

Есть примерно вот такой конфиг:

server {
    listen 80 default_server;
    server_name example.org;
    return 301 https://$server_name$request_uri;
}
server {
  listen 443 ssl default_server;
  ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem;
  root /home/deploy/apps/example/current/public;
  try_files $uri/index.html $uri @example;
  location @example {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_redirect off;
    proxy_pass http://example;
  }
  keepalive_timeout 10;
}

Как разрешить для определённого адреса, например /non_https/* подключаться по http?

Answer 1

[Fixid]

в секцию первого server добавьте location example и настройте его на /non_https/

Comments

[romnovi]

Добавлял так: location /non_https {
proxy_pass http://example;
}
Получаю всё равно редирект на https, можете пожалуйста привести пример

[Lindon_cano]

mystdeim: прозреваю я, что HSTS в хедерах для домена своего передавал ты, юный падаван. Оттого браузер и идет все равно на https. Убрать HSTS требуется тебе из конфига и почистить в браузере своем.

[romnovi]

Lindon_cano: так и произошло, браузер, увидим что весь сайт на https, упорно не видит http. Проверил через curl всё правильно работает

[Lindon_cano]

mystdeim: ну так во всех хавту пишут что включать HSTS нужно, потому и заподозрил я, что просто конфиг не весь показан, а HSTS включен. Если в браузере использовать нужно этот адрес, то таки отключать HSTS придется.

[romnovi]

Lindon_cano: а как HSTS отключить? впринципе у меня сейчас итак заработало, я один адрес через локайш в сервер блоке для 80 порта оставил для подключения (это нужно для сторонней системы, она не кеширует ничего), остальное редиректится на https.

[Lindon_cano]

mystdeim: и как только оно перейдет на https, так запомнит про HSTS и снова браузер не сможет попасть куда надо.
Найдите у себя в конфигах строчку типа
add_header Strict-Transport-Security "max-age=31536000";
и с болью в сердце уберите ее для данного домена.

[romnovi]

Lindon_cano: нашёл, спасибо, теперь я полностью разобрался! убирать не буду, сторонняя система для которой я оставил лазейку по http не обращает внимание на этот хедер ) меня ввёл в заблуждения браузер что он редиректил обратно на https, теперь понятно кто был виноват

[Lindon_cano]

mystdeim: ну попутно узнали про HSTS и заголовок для него передаваемый :) И где он живет. Тоже полезно. А если то что будет обращаться его игнорит, так вообще прекрасно, и HSTS на месте, и работать все будет.

Answer 2

[ТыжСисАдмин]

server {
    listen 80 default_server;
    server_name example.org;
    return 301 https://$server_name$request_uri;
}
server {
  listen 443 ssl default_server;
  ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem;
  root /home/deploy/apps/example/current/public;
  try_files $uri/index.html $uri @example;
  location @example {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_redirect off;
    proxy_pass http://example;
  }
  keepalive_timeout 10;
}

server {
    listen 80 ;
    server_name example_no_ssl.org;
    location / {
      ......
    }
.....
}

Comments

[romnovi]

у вас с другой домен используется

[ТыжСисАдмин]

mystdeim: ну и это вам ниочём не говорит?

[Юрий Чудновский]

mystdeim: а вы про адрес, а не про урл спрашивали :)

[ТыжСисАдмин]

Юрий Чудновский: прочтобы он не спрашивал а ссл это настрйка сервер секции а е лакэшенов.