我通过startssl 认证将我的网站升级到https。但Safari不信任startssl认证。所以,我考虑设置nginx,如果它是http,并且UserAgent不包含iPhone/iPad,那么301重定向到https。(这是平均的,其他浏览器将 301 到 https。这是我尝试过的:
server {
listen 80;
listen 443 ssl;
server_name abc.com alias abc.com;
ssl_certificate D:cert1_abc.com_bundle.crt;
ssl_certificate_key D:certabc.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
if ($scheme = http) && if ($http_user_agent !~* iPhone|iPad) {
return 301 https://$host$request_uri;
}
location / {
root D:/www;
index index.html index.htm default.html default.htm index.php;
include D:/www/up-*.conf;
}
========OR====
=======if ($scheme = http && $http_user_agent !~* iPhone|iPad)
========OR====
=======但是他们两个,都没有效果。
if
指令只能包含简单的条件。有关详细信息,请参阅此文档。
一种方法是将http
和https
服务器分成单独的server
块。
server {
listen 80;
server_name abc.com alias abc.com;
if ($http_user_agent !~* "iPhone|iPad") {
return 301 https://$host$request_uri;
}
include path/to/common/config;
}
server {
listen 443 ssl;
server_name abc.com alias abc.com;
ssl_certificate D:cert1_abc.com_bundle.crt;
ssl_certificate_key D:certabc.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
include path/to/common/config;
}
它确实涉及跨两个server
块复制通用配置,但是,include
指令可用于将任何通用配置卸载到单独的文件中(如上图所示)。
针对您的问题的更好解决方案是前端重定向:
在 http 网页中,包含一个位于 https 版本的 js 文件,这些文件只做一件事:重定向到同一个网址,但使用 https。因此,只有信任您的证书的客户端才会被重定向。
但是,无论解决方案是什么,如果用户获得https链接,如果他们不信任该证书,则该链接将被破坏。我希望你不要处理任何个人数据,因为你有义务保护这些数据,即使是拥有iPad的人。
但是,当然,更好的解决方案可能是使用受信任的证书,例如让我们加密。