SSL-сертификат — это криптографический протокол — это пррелестно.
странная статья — сначала рассказываем как получить оценку A+, а в конце — почему она не нужна и вредна ;)
Куча ошибок в статье, не рекомендую бездумно копипастить конфиги и команды из нее…
Сгодится только как научно-популярная обзорка…
Позволю себе повторить и дополнить уже вышеоткоментированное:
— SPDY все, HTTP/2 наше все
— Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
— есть еще WoSign как раздатчик бесплатных сертификатов — со своими нюансами конечно
— текст про старый набор шифров, иллюстрация про DH 1024
— SPDY не для ускорения SSL
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
Написал update
Пока гипотеза сменилась.
В основном виноват Hetzner, в котором зона хостится.
Он перестал порядок записей менять и каждый раз отдает один и тот же вариант.
А гугл, в отличие от яндекса, похоже кеширует просто последовательность символов, полученную от хетцнера.
и ничего не меняя отправляет ее в ответ на запросы.
Ну да. это скрипт под конкретный темплейт контейнера.
Ему не надо быть универсальным.
Код в него добавляли несколько лет несколько разных человек, поэтому такое спаггети и получилось
links я пожалуй, на curl заменю
а по поводу файлов /root/.mysql и .postgresql — это просто принятая у нас система флагов.
при назначении контейнеру роли сервера БД, эти флаги создаются в контенере.
А по поводу проверки наличия открытого стнадартного порта — вот это уже ужас-ужас.
В конфиге сервера у нас обычно стоит skip-networking
А что делать, если порт не открыт? У нас на хосте нету сервера БД вообще, или сервер БД упал?
ящик с таким адресом используется только для технических целей.
все письма на этот адрес сразу отправляются в /dev/null
С таким MAIL FROM: рассылаются письма массовых рассылок и индвидуальных уведомлений.
админы-параноики серверов получателей могу проверить существование ящика отправителя
боунсы о несуществующих ящиках отправляются сразу в топку, а не раздувают очередь на сервере в два раза
информация о результате доставки выдергивается из логов сервера доставки.
ну а те, кто использует его в заголовках письма From: делают это из-за технической безграмотности или просто не заинтерисованы в эффективности своей работы.
чтобы положить 400тыр, при годовом доходе в 600 (66% от дохода!) надо жить где-нить на вокзале и на трехразовом питании.
в понедельник, среду и пятницу
Главной особенностью разработки 787 является потребление топлива меньшее на 20% по сравнению с остальными моделями Boeing (в других источниках: по сравнению с аналогичными моделями других фирм).
если не врут — то это большой прорыв и много проблем для эйрбаса
но скорее всего врут. получить 20% экономичности за раз — это нереально
я плотно не вникал, но видел, что какой-то из патчей для работы с 1.1.0 будет в следующем релизе nginx 1.11.4
имхо рано еще в продакшен
при сборке nginx указываем, что надо собирать с конкретной версией:
configure --with-openssl=/root/openssl-1.0.2h
У nginx есть src.rpm родные. https://nginx.org/packages/mainline/centos/6/SRPMS/
можно их использовать для сборки
Отдавать HSTS заголовок клиенту?
Или перекомпилировать nginx?
странная статья — сначала рассказываем как получить оценку A+, а в конце — почему она не нужна и вредна ;)
Куча ошибок в статье, не рекомендую бездумно копипастить конфиги и команды из нее…
Сгодится только как научно-популярная обзорка…
Позволю себе повторить и дополнить уже вышеоткоментированное:
— SPDY все, HTTP/2 наше все
— Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
— есть еще WoSign как раздатчик бесплатных сертификатов — со своими нюансами конечно
— текст про старый набор шифров, иллюстрация про DH 1024
— SPDY не для ускорения SSL
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
В вики хетцнера даже готовый скипт для переключения через API есть
https://wiki.hetzner.de/index.php/Failover_Skript/ru
в общем затраты на конфигурацию не существенны — они одноразовые
а вот бессмысленные затраты на создание tcp-Соединений к апстримам будут на каждый запрос
нам надо разделить клиентов на несколько частей — split clients
А главный плюс апстрима — определение упавших бекендов тут не используется.
в качестве апстрима мы же будем указывать вирт. сервера в том же nginx
разбросанных от штатов до селектела, через хетцнер… ;)
и они никак не завязны на какую-то БД или бекенд. Самодостаточны и генерируют много трафика.
haproxy и прочее точно так же будут упираться в гигабит.
Озадачили разработчиков, ждем их комментариев
Пока гипотеза сменилась.
В основном виноват Hetzner, в котором зона хостится.
Он перестал порядок записей менять и каждый раз отдает один и тот же вариант.
А гугл, в отличие от яндекса, похоже кеширует просто последовательность символов, полученную от хетцнера.
и ничего не меняя отправляет ее в ответ на запросы.
Ему не надо быть универсальным.
Код в него добавляли несколько лет несколько разных человек, поэтому такое спаггети и получилось
links я пожалуй, на curl заменю
а по поводу файлов /root/.mysql и .postgresql — это просто принятая у нас система флагов.
при назначении контейнеру роли сервера БД, эти флаги создаются в контенере.
А по поводу проверки наличия открытого стнадартного порта — вот это уже ужас-ужас.
В конфиге сервера у нас обычно стоит skip-networking
А что делать, если порт не открыт? У нас на хосте нету сервера БД вообще, или сервер БД упал?
А как хоть этот механизм называется?
я автоответчики считаю злом и сам не использую, и своим подопечным не даю.
пусть уж лучше на время отпуска будет редирект на замещающего сотрудника.
Переписываться же будут два РАЗЛИЧНЫХ автоответчика на двух разных серверах…
ящик с таким адресом используется только для технических целей.
все письма на этот адрес сразу отправляются в /dev/null
С таким MAIL FROM: рассылаются письма массовых рассылок и индвидуальных уведомлений.
админы-параноики серверов получателей могу проверить существование ящика отправителя
боунсы о несуществующих ящиках отправляются сразу в топку, а не раздувают очередь на сервере в два раза
информация о результате доставки выдергивается из логов сервера доставки.
ну а те, кто использует его в заголовках письма From: делают это из-за технической безграмотности или просто не заинтерисованы в эффективности своей работы.
И как долго переписываются ваш автоответчик и автоответчик юзера? ;)
в понедельник, среду и пятницу
если не врут — то это большой прорыв и много проблем для эйрбаса
но скорее всего врут. получить 20% экономичности за раз — это нереально
Болты в бак вворачиваются, а он почти неподвижный. слегка на аммортизаторах гулять может