EchoSeniorCoding
Как настроить TLS/HTTPS в Echo?
Echo поддерживает TLS через e.StartTLS(addr, certFile, keyFile) для ручных сертификатов и e.StartAutoTLS(addr) для автоматического получения сертификатов Let's Encrypt через пакет golang.org/x/crypto/acme/autocert.
Варианты настройки TLS в Echo
Echo предоставляет три уровня настройки TLS: базовый (StartTLS), автоматический через ACME/Let's Encrypt (StartAutoTLS) и полностью кастомный через echo.TLSServer с tls.Config. Выбор зависит от окружения: локальная разработка, VPS без load balancer, или продакшен за reverse proxy.
Вариант 1: Ручной сертификат (StartTLS)
package main
import (
echo "github.com/labstack/echo/v4"
"github.com/labstack/echo/v4/middleware"
)
func main() {
e := echo.New()
e.Use(middleware.Logger())
e.Use(middleware.Recover())
e.GET("/", func(c echo.Context) error {
return c.String(200, "Hello, TLS!")
})
// certFile и keyFile — PEM-файлы
e.Logger.Fatal(e.StartTLS(":443", "/etc/ssl/certs/server.crt", "/etc/ssl/private/server.key"))
}
Вариант 2: Let's Encrypt через AutoTLS
package main
import (
echo "github.com/labstack/echo/v4"
"github.com/labstack/echo/v4/middleware"
)
func main() {
e := echo.New()
e.AutoTLSManager.HostPolicy = autocert.HostWhitelist("example.com", "www.example.com")
// Директория для кеша сертификатов (должна существовать)
e.AutoTLSManager.Cache = autocert.DirCache("/var/cache/autocert")
e.Use(middleware.Logger())
e.Use(middleware.Recover())
e.GET("/", func(c echo.Context) error {
return c.String(200, "Secured by Let's Encrypt")
})
// Автоматически получает и обновляет сертификат
// HTTP на :80 для ACME challenge обрабатывается автоматически
e.Logger.Fatal(e.StartAutoTLS(":443"))
}
Вариант 3: Кастомный tls.Config (продакшен)
package main
import (
"crypto/tls"
"net/http"
"time"
echo "github.com/labstack/echo/v4"
"github.com/labstack/echo/v4/middleware"
"golang.org/x/crypto/acme/autocert"
)
func main() {
e := echo.New()
e.Use(middleware.Logger())
e.Use(middleware.Recover())
e.Use(middleware.SecureWithConfig(middleware.SecureConfig{
XSSProtection: "1; mode=block",
ContentTypeNosniff: "nosniff",
XFrameOptions: "SAMEORIGIN",
HSTSMaxAge: 31536000,
HSTSExcludeSubdomains: false,
ContentSecurityPolicy: "default-src 'self'",
}))
e.GET("/api/health", func(c echo.Context) error {
return c.JSON(200, map[string]string{"status": "ok"})
})
// Современная TLS конфигурация: только TLS 1.2+
tlsConfig := &tls.Config{
MinVersion: tls.VersionTLS12,
CipherSuites: []uint16{
tls.TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
tls.TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,
tls.TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,
tls.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
tls.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
},
CurvePreferences: []tls.CurveID{
tls.X25519,
tls.CurveP256,
},
PreferServerCipherSuites: true,
}
s := &http.Server{
Addr: ":443",
Handler: e,
TLSConfig: tlsConfig,
ReadTimeout: 30 * time.Second,
WriteTimeout: 30 * time.Second,
IdleTimeout: 120 * time.Second,
}
// Редирект HTTP → HTTPS
go func() {
httpServer := &http.Server{
Addr: ":80",
Handler: http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
http.Redirect(w, r, "https://"+r.Host+r.RequestURI, http.StatusMovedPermanently)
}),
}
httpServer.ListenAndServe()
}()
e.Logger.Fatal(s.ListenAndServeTLS("/etc/ssl/certs/server.crt", "/etc/ssl/private/server.key"))
}
Проверка конфигурации TLS
// CLI-команды для проверки:
// openssl s_client -connect example.com:443 -tls1_2
// nmap --script ssl-enum-ciphers -p 443 example.com
// curl -v --tlsv1.2 https://example.com/api/health
Паттерн за reverse proxy (nginx/Traefik)
В продакшене TLS обычно терминируется на nginx или Traefik, а Echo слушает на :8080 без TLS. В этом случае Echo должен доверять заголовку X-Forwarded-Proto для корректного формирования редиректов и ссылок, а HSTS заголовки выставляются на уровне proxy.
Подводные камни
- StartAutoTLS требует порт 80 — ACME HTTP-01 challenge приходит на порт 80. Если он занят или закрыт файерволом, сертификат не выпустится. Убедитесь, что
:80доступен и не занят nginx. - Кеш AutoTLS не персистентен в Docker — если директория кеша не вынесена в volume, при рестарте контейнера Let's Encrypt будет запрашивать новый сертификат, что быстро исчерпает rate limit (5 сертификатов в неделю на домен).
- TLS 1.0/1.1 не отключены — без явного
MinVersion: tls.VersionTLS12Go разрешит устаревшие версии, что не пройдёт аудит безопасности (PCI DSS, Mozilla TLS Observatory). - Таймауты не заданы — Go-сервер без ReadTimeout уязвим к Slowloris-атаке, где клиент отправляет запрос очень медленно, удерживая соединение.
- Нет HTTP→HTTPS редиректа — пользователи, открывающие
http://, получат ошибку соединения вместо автоматического редиректа. - HSTS без Preload и без проверки — после добавления HSTS заголовка убедитесь, что сертификат всегда действителен; браузер откажется показывать сайт без HTTPS даже при просроченном сертификате.
- Сертификат для неверного домена — AutoTLS без явного HostWhitelist выпустит сертификат для любого домена, что открывает вектор атаки при неправильно направленном DNS.
- Двойное TLS завершение — если Echo настроен на TLS и стоит за nginx с TLS, это создаёт overhead и усложняет диагностику. Выберите одну точку терминации TLS.
Common mistakes
- Давать ответ про TLS и HTTPS в Echo только на уровне определения, не показывая поведение в реальном приложении.
- Игнорировать границы ответственности вокруг темы «TLS и HTTPS в Echo»: кто отменяет работу, кто владеет ресурсом и где формируется ответ клиенту.
- Не связывать TLS и HTTPS в Echo с observability, тестированием или безопасностью, когда это влияет на продакшен-поведение.
What the interviewer is testing
- Точно объясняет, что именно делает TLS и HTTPS в Echo и где это используется в Go-коде.
- Связывает TLS и HTTPS в Echo с корректным lifecycle запроса, отменой, конкурентностью или конфигурацией сервера там, где это уместно.
- Не изобретает API и опирается на реальные контракты официальной документации.