Базовая HTTPS/TLS-настройка HAProxy: bind с TLS, современные протоколы, HSTS и backend proxy.
Версия методики: 0.1. Последнее обновление: 12.05.2026.
Вернуться к проверке
Пример frontend
- frontend https-in
- bind :443 ssl crt /etc/haproxy/certs/example.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2
- http-response set-header Strict-Transport-Security "max-age=31536000; includeSubDomains"
- default_backend app
На что обратить внимание
- Файл сертификата HAProxy обычно содержит private key, leaf certificate и chain в одном PEM.
- ssl-min-ver TLSv1.2 отключает TLS 1.0 и TLS 1.1.
- Если TLS завершается на HAProxy, настройки Nginx/Apache за ним уже не влияют на публичную TLS-оценку.
Проверка после reload
- Запустите haproxy -c -f /etc/haproxy/haproxy.cfg.
- После reload проверьте, что HTTP/2, сертификат и HSTS видны снаружи.
- Если перед HAProxy стоит CDN, проверять нужно публичную точку входа, а не внутренний backend.