Сейчас всё OK. Nmap говорит, что всё ещё торчит наружу, но прикрыт файрволом. Не очень безопасно, но пойдёт. Прикройте его тоже файрволом хотя бы для доверенных IP-адресов. Вчера выдавалась ЕМНИП 1.1.5, а на дворе 1.9.1. 2000 в сутки спокойно пролезают. CloudFlare использует свои сертификаты для HTTPS. Там где-то ещё включается проксирование изображений, иначе стоит кому-то вставить картинку со стороннего ресурса и браузер выдаст предупреждение о смешанном содержимом. Apache можно и снести, заменив на php-fpm. Последний жрёт куда меньше ресурсов и работает стабильнее. Но это уже на ваше усмотрение.
Ты прав, но двор поделился 1.9.1 с нами после твоего сообщения. Там есть опция "SSL (with SPDY): Full SSL (strict)", насколько я понял она подразумевает использование своих сертификатов? Вчера-сегодня сидел в гугле, единственное, что попалось про картинки - кто-то написал отключить "gravatar" (система аватарок, которая на старых версиях хромала с HTTPS). Теперь хоть знаю как это называется. Спасибо за совет, правда сильно над backend'ом сидеть не хочется, не та посещаемость.
Если будет через пару месяцев посещаемость больше, чем у нас сейчас, то сделаю. Просто форум поставил на свой сервер, который ставился/настраивался 3+ года назад, где микро-сайты мои лежат никому не нужные. Вот ради TF2.World'а пришлось конечно поднять до A'шки.
Разработчики nginx предоставляют официальные репозитории для большинства популярных серверных дистрибутивов. Да, но клиентам всё равно будет отдаваться сертификат Comodo от CloudFlare ибо они выступают в роли прокси. Система такая: клиент <-SSL-> сервер CF <-SSL-> хостинг. Путаешь понятие фронтенд и бэкэнд. Фронтендом сейчас является nginx, а бэкэндом - Apache. В случае использования php-fpm оный будет бэкэндом. При использовании CloudFlare не представляется возможным, т.к. они режут нужные заголовки (HSTS, Public-Key-Pinning и т.д.), а также используют свои наборы шифров и протоколов. Если отключить, тогда да, будет A+. Можешь чекнуть мой блог например.
Под backend'ом в своем контексте я скорее подразумевал о "работа над сайтом которая никакого функционала и особо полезного обычным пользователям не приносит".
Это бесплатный сертификат доступный к получению любому физическому лицу (от StartCom). Правда из-за использования CloudFlare может показываться их сертификат по дороге до их серверов.
Все современные браузеры поддерживают технологию SNI, поэтому приземлить HTTPS можно даже на шаред-хостинг. Прошло время, когда требовался выделенный IP-адрес и дорогой wildcard сертификат. Не может, а будет, т.к. они проксируют весь трафик через свои серверы.
C возвращением чо) приятно видеть старые лица, правда постоянные пересылки на левые сайты домогают немного