Https заменяется на http после прохода через nginx?

Question

[MrDimaFIX]

Имеется задача: в один docker-контейнер с php-fpm добавить nginx, который будет работать на 80 порту.
Сейчас данный nginx имеет следующую конфигурацию:

server {
        listen 80 default_server;

        root /app/public;

        add_header X-Frame-Options "SAMEORIGIN";
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Content-Type-Options "nosniff";

        index index.html index.php;

        location / {
            try_files $uri $uri/ /index.php?$query_string;
        }

        charset utf-8;

        location ~* \.php$ {
            fastcgi_pass                     127.0.0.1:9000;
            fastcgi_index                   index.php;
            include                            fastcgi_params;
            fastcgi_param                  SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param                  REQUEST_METHOD $request_method;
        }
    }

Рядом с контейнером php-fpm (с кодом) и nginx запущен ещё один nginx, который является входящим прокси сервером.
Конфиг для данного хоста вот:

server {
    listen 80;
    server_name test.local.host;

    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name test.local.host;

    ssl_certificate /etc/letsencrypt/live/test.local.host/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/test.local.host/privkey.pem;

    location / {
        proxy_pass http://php; #php -- имя контейнера, описанного выше
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 900s;
        proxy_send_timeout 900s;
    }
}

В чём проблема: при переходе на test.local.host всё работает замечательно (когда выключен redirect на https).
При входе на сайт через https://test.local.host загружается только index.php, а файлы со стилями (как и все остальные) не загружаются браузером, т.к. они пытаются загрузиться по http, а браузер этого не разрешает. При этом если этот же файл открыть через https://test.local.host/js/app.js -- файл открывается нормально.
В какой-то момент, то ли главный nginx, то ли второй, то ли php-fpm решает что он работает по http, и возвращает ссылки на файлы по http протоколу.

Какие возможные варианты решения данной проблемы? Уже несколько дней не подберу рабочей конфигурации.

Answer 1

[Денис Юрьев]

У вас похоже nginx в контейнере не передает инфу в php-fpm о том что https используется
fastcgi_param REQUEST_SCHEME https;
или (пишу по памяти, пардоньте)
fastcgi_param HTTPS on;

а вообще по классике - создайте файл info.php с содержимым
<?php phpinfo(); ?>
и посмотрите что там прилетает заголовками в php

UPD: если кто пришел с гугла сюда, чтоб не страдали - убрал кавычки лишние, подробности в комментариях

Comments

[MrDimaFIX]

Оба fastcgi параметра ситуации не поменяли
В PHP Variables в info:
$_SERVER['HTTP_X_FORWARDED_PROTO'] https
$_SERVER['REQUEST_SCHEME'] https
$_SERVER['SERVER_PROTOCOL'] HTTP/1.1
$_SERVER['HTTPS'] off
$_SERVER['SERVER_PORT'] 80

$_ENV['HTTP_X_FORWARDED_PROTO'] https
$_ENV['REQUEST_SCHEME'] https
$_ENV['HTTPS'] off
$_ENV['SERVER_PORT'] 80

[MrDimaFIX]

Написал fastcgi_param HTTPS 'on'; без кавычек -- сработало.
Большое спасибо!
Добра =)

[Денис Юрьев]

у вас в php все таки приходит $_SERVER['HTTPS'] off

fastcgi_param HTTPS on; все таки надо

заодно fastcgi_param SERVER_PORT 443
так как у вас там сейчас еще $_SERVER['SERVER_PORT'] 80

[Денис Юрьев]

MrDimaFIX, за кавычки пардон

на счет порта еще обратите внимание, если вас еще ща пхп отдает ссылки на ресурсы как https://host:80/

[MrDimaFIX]

Денис Юрьев, добавлю, спасибо за помощь

Answer 2

[Виктор Таран]

ТАК НЕЛЬЗЯ ДЕЛАТЬ!
Какой-то идиот написал ман и все маны в интернете ошибочны ( да оно работает но есть множество но)
И это связано именно с тем что бэк не знает что он на https, да есть частичные костыли которые решают большинство косяков ( но не все)
Короче если в кратце
http -> http
https -> https
Подставляете тот же сертификат на бэке
Падения производительности нет.
Придумывать велосипед смысла нет, делайте как положено и все будет хорошо
тот гений что придумал миксовать контент, может и ответит зачем он так придумал но реально от этого решения нет никакой пользы а вот минусы есть

Comments

[MrDimaFIX]

А зачем шифровать трафик между двумя контейнерами, если они находятся в одной локальной сети
Разве пробрасывать сертификат между контейнерами -- не больший костыль?
Я ни в коем случае не настаиваю на своём мнении, просто интересуюсь у опытных людей как сделать лучше

[Виктор Таран]

MrDimaFIX,
Открою вам секрет что если есть место не важно где но по дороге без шифрования, канал не может считаться защищеным.
В идиале нужно шифровать и бэк и фронт и тунель между ними.
НО последнее это как вы уже заметили возможно маразм для обычного веба.
Однако если у вас в ajax будет ифка с какой протокол то у вас будут проблемы.
если у вас будет АПИША с ожидаемым кодом 200 а у вас будет 301 то тоже проблемы
если у вас будет редирект с http_host = site.ru а он по факту на бэке будет site.ru:82 то тоже будут проблемы, и тд и тп.
я сейчас не говорю о самом шифрование канала я говорю о реальном определение бэком какой сейчас протокол. Посколку идет его подмена на фронте частично это исправляется но бэк работает на незащищеном и это полностью скрыть нельзя, в результате может быть все что угодно.
От зацикливания редиректов, котоырй гоняет по кругу один и тот-же урл вообще не еняя его.

Это не критично и на 95% проектов это вообще не заметно.
Но с точки зрения постороения архитектуру грубейшая ошибка.
Сделайте все правильно, дабы разница в 6 строк конфига.

В чем костыльность проброса сертификатов? никто вам не запрещяет кстати юзать разные.