Как выключить https на Nginx?

Question

[shiroleer]

На сайте был включен https, сертификат был подписан Let's Encrypt. Вчера закончился срок его действия. Не смог его обновить и решил вообще на время выключить https. В конфиге сервера убрал строки, которые отвечали за редирект с http на https и прослушивание 443 порта:

listen 80;
    server_name site.ru;
    return 301 https://site.ru$request_uri;
    server_tokens off;

listen 443 ssl;
    server_name site.ru;
    server_tokens off;

    # Указываем пути к сертификатам
    ssl_certificate /etc/letsencrypt/live/site.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/site.ru/privkey.pem;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;

    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    ssl_ciphers 'xxx';
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;

    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security max-age=15768000;

Однако сервер как редиректил на https так и продолжает редиректить. Как быть?

Comments

[Евгений Вольф]

Однако сервер как редиректил на https так и продолжает редиректить. Как быть?

Вы уверены, что это продолжает делать именно сервер, а не Ваш браузер? Попробуйте открыть сайт в браузере, в котором Вы его раньше никогда не открывали...

[Сергей Соколов]

Не смог его обновить

в чём проблема? Давайте лучше с этим разберёмся. Обновить серт – 5 секунд.

[shiroleer]

Сергей Соколов: Проблема в том, что при обновлении сертификата (letsencrypt renew) выдавало ошибку

The server could not connect to the client to verify the domain :: Could not connect to site.ru

Разбираться пока нету времени, но теперь на https сайт падает с ошибкой, а с http все равно редиректит на https

[Сергей Соколов]

shiroleer: скорее всего, LetEncrypt пытался найти на вашем сайте тот проверочный файл в .well_known/.... При этом он обращался по http, который вы редиректите на https. А https не работает, т.к. сертификат уже просрочен. Надо бы сделать исключение для well-known и отдавать его и по простому http.

[shiroleer]

Сергей Соколов: Странность в том, что я пытался обновить сертификат когда срок действия текущего еще не закончился и сайт был доступен, но была такая же ошибка как я прислал выше

Answer 1

[Erelecano Oioraen]

> add_header Strict-Transport-Security max-age=15768000;

Кто в конфиг добавлял? Вот у вас браузер и запомнил, что надо ходить по https. Читайте что такое HSTS.

Comments

[shiroleer]

Не знал о такой штуке. Убрал эту строку, однако если зайти с браузера, с которого я ни разу не заходил, то все равно упорно редиректит на https

[Erelecano Oioraen]

Если вот это:

listen 80;
server_name site.ru;
return 301 https://site.ru$request_uri;

Не редирект на https, то я — испанский летчик.

[shiroleer]

Erelecano Oioraen: я кажется там писал что как раз эти строки я удалил, но все равно редиректит

[Erelecano Oioraen]

Текущий конфиг покажи. Тот что применяется при рестарте.

[shiroleer]

Erelecano Oioraen: В комментарии к ответу alexey-m-ukolov прикрепил

Answer 2

[Алексей Уколов]

add_header Strict-Transport-Security max-age=1;

Comments

[shiroleer]

Не помогло

[Алексей Уколов]

Покажите полный текущий конфиг nginx.

[shiroleer]

Алексей Уколов:

server {
    listen 443 ssl;
    server_name site.ru;
    return 301 http://site.ru$request_uri;
}

server {
    listen 80;
    server_name site.ru;

    location ~ /.well-known {
        allow all;
    }

	root   /var/www/site.ru;
	index  index.php;


     location /phpmyadmin {
           root /usr/share/;
           index index.php index.html index.htm;
           location ~ ^/phpmyadmin/(.+\.php)$ {
                   try_files $uri =404;
                   root /usr/share/;
                   fastcgi_pass 127.0.0.1:9000;
                   fastcgi_index index.php;
                   fastcgi_param SCRIPT_FILENAME $request_filename;
                   include /etc/nginx/fastcgi_params;
           }
           location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
                   root /usr/share/;
           }
    }
    location /phpMyAdmin {
           rewrite ^/* /phpmyadmin last;
    }

    location / {
		try_files $uri $uri/ /index.php?route=$uri&$args;
	}

	location ~* ^.+.(js|css|png|jpg|jpeg|gif|ico|woff|ttf|eot)$ {
		access_log        off;
		expires           max;
	}
	location ~ \.php$ {
		# fastcgi_split_path_info ^(.+\.php)(.*)$;
		fastcgi_pass   127.0.0.1:9000;
		fastcgi_index  index.php;

		fastcgi_param  DOCUMENT_ROOT    /var/www/site.ru;
		fastcgi_param  SCRIPT_FILENAME  /var/www/site.ru$fastcgi_script_name;
		fastcgi_param  PATH_TRANSLATED  /var/www/site.ru$fastcgi_script_name;
		include fastcgi_params;
		fastcgi_param  QUERY_STRING     $query_string;
		fastcgi_param  REQUEST_METHOD   $request_method;
		fastcgi_param  CONTENT_TYPE     $content_type;
		fastcgi_param  CONTENT_LENGTH   $content_length;
		fastcgi_intercept_errors        on;
		fastcgi_ignore_client_abort     off;
		fastcgi_connect_timeout 60;
		fastcgi_send_timeout 180;
		fastcgi_read_timeout 180;
		fastcgi_buffer_size 128k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
	}

	location = /favicon.ico {
		log_not_found off;
		access_log off;
	}
	location = /robots.txt {
		allow all;
		log_not_found off;
		access_log off;
	}

	location ~ /\.ht {
		deny  all;
	}
}