Linux: как исправить server gave HTTP response to HTTPS client в reverse proxy и health checks

Ошибка server gave HTTP response to HTTPS client кажется простой, но в реальной инфраструктуре почти всегда указывает не на единичный сбой, а на рассинхронизацию схемы трафика где-то в цепочке. Клиент ожидает TLS-рукопожатие, а другая сторона отвечает обычным HTTP. Чаще всего это происходит в связках с reverse proxy, когда внешний слой принимает HTTPS, а приложение, health checks или upstream продолжают жить по HTTP.

Классический сценарий: на фронте стоит nginx, haproxy или caddy, TLS завершается на прокси, а backend слушает только порт 80 или 8080. Это нормальная схема, пока все участники понимают, где именно заканчивается TLS. Как только один компонент начинает считать, что дальше тоже должен быть HTTPS, появляется та самая ошибка.

Сообщение может всплывать в разных местах: в curl, в логах прокси, в контейнере приложения, в health checks балансировщика или у внутреннего сервиса, который стучится в backend по неверному протоколу. Поэтому лечить проблему заменой http на https в первом попавшемся конфиге обычно бесполезно.

Ниже разберём, как быстро локализовать участок с mismatch, что проверить в Nginx, HAProxy и Caddy, и как правильно настроить tls termination, backend scheme, X-Forwarded-Proto и проверки доступности.

Что на самом деле означает эта ошибка

Когда HTTPS-клиент подключается к серверу, он ожидает TLS-рукопожатие сразу после установки TCP-соединения. Если вместо этого удалённая сторона присылает обычный HTTP-ответ вроде HTTP/1.1 200 OK или HTTP/1.1 301 Moved Permanently, клиент считает, что на том конце вообще не TLS-сервис. Отсюда и сообщение: сервер дал HTTP-ответ HTTPS-клиенту.

На практике корневые причины обычно сводятся к нескольким вариантам:

• клиент идёт на HTTPS-порт, где реально слушает HTTP-сервис;
• прокси подключается к backend по https, хотя backend обслуживает только http;
• health check использует HTTPS там, где нужен обычный HTTP;
• между несколькими прокси один слой ждёт TLS passthrough, а другой уже делает TLS termination;
• приложение не понимает, что внешний запрос был HTTPS, и начинает ломать редиректы или внутренние вызовы.

Важно: эта ошибка обычно не про сертификаты. При проблемах с сертификатом вы бы чаще увидели сообщения про неизвестный центр сертификации, несовпадение имени узла, обрыв TLS handshake или ошибки верификации цепочки. Здесь ситуация проще и грубее: вместо TLS приходит plain HTTP.

Если видите server gave HTTP response to HTTPS client, первым делом проверяйте не сертификат, а схему на каждом хопе: где HTTPS, где HTTP и где именно завершается TLS.

Типовая схема с TLS termination и где всё ломается

Нормальная и очень распространённая архитектура выглядит так: пользователь приходит по HTTPS на reverse proxy, прокси расшифровывает трафик, а дальше отправляет запрос приложению по HTTP во внутренней сети. Это и есть классический tls termination.

Такая модель полностью рабочая, если backend знает, что исходный клиент пришёл по HTTPS. Для этого прокси передаёт заголовки вроде X-Forwarded-Proto, X-Forwarded-For и X-Forwarded-Host, а приложение доверяет этим заголовкам только от своих прокси.

Проблема начинается в двух типовых случаях. Первый: backend не знает о termination и считает, что запрос пришёл по обычному HTTP. Тогда он может зациклить редиректы, строить неправильные абсолютные URL и ломать авторизацию. Второй: администратор решает «раз сайт работает по HTTPS, значит и до backend надо ходить по HTTPS», меняет схему upstream, но само приложение TLS не умеет. В этот момент прокси пытается начать TLS-сессию с обычным HTTP-портом и получает plain HTTP вместо handshake.

Если у вас несколько уровней проксирования, путаница становится ещё вероятнее. Например, внешний балансировщик принимает HTTPS, потом передаёт трафик на Nginx, а уже Nginx ходит к приложению. В такой схеме важно явно понимать, какой слой делает termination, какой слой просто проксирует, и кто должен знать о реальной клиентской схеме.

Облачный VDS-сервер в России

Аренда виртуальных серверов с моментальным развертыванием инфраструктуры от 195₽ / мес

Подробнее

Для проектов, где вы сами управляете Nginx, HAProxy, контейнерами и маршрутами трафика, удобнее использовать VDS: так проще контролировать TLS termination, health checks и сетевую схему без ограничений типового окружения.

Как быстро локализовать участок с проблемой

Главная ошибка при диагностике — проверять только внешний URL. Нужно разложить цепочку на сегменты и проверить каждый отдельно: внешний адрес, внутренний upstream, локальный порт приложения и health checks.

Сначала ответьте на простой вопрос: кто именно пишет ошибку? Это curl на вашей машине, Nginx, HAProxy, Caddy, мониторинг, оркестратор или само приложение? Источник сообщения почти всегда подсказывает, на каком участке искать mismatch.

Практический порядок проверки такой:

1. Проверьте, что внешний 443 действительно обслуживает TLS.
2. Проверьте, соответствует ли схема backend-порта той схеме, которую использует прокси.
3. Проверьте редиректы на backend: не уводят ли они во внутренний HTTPS там, где между proxy и app должен быть HTTP.
4. Сверьте health checks: протокол, порт, URI и заголовок Host.
5. Проверьте передачу X-Forwarded-Proto и доверие к нему в приложении.

Для диагностики достаточно нескольких команд:

curl -I http://127.0.0.1:8080
curl -I https://example.com
curl -vk https://127.0.0.1:8080
openssl s_client -connect example.com:443 -servername example.com

Если команда curl -vk https://127.0.0.1:8080 возвращает сообщение про HTTP response to HTTPS client, это почти прямое доказательство: на порту 8080 нет TLS, а какой-то компонент всё равно пытается использовать HTTPS.

Параллельно полезно посмотреть, какие сокеты реально слушаются и что пишут сервисы:

ss -tlpn
journalctl -u nginx -n 100 --no-pager
journalctl -u haproxy -n 100 --no-pager
journalctl -u caddy -n 100 --no-pager

Если backend открыт только на 127.0.0.1:8080 без TLS, фронтовой прокси должен ходить туда по http, а не по https.

Частая причина №1: неверный backend scheme в Nginx

В Nginx проблема чаще всего скрывается в proxy_pass. Внешний сайт работает по HTTPS, и администратор по инерции пишет proxy_pass https://app;, хотя upstream на самом деле отдаёт обычный HTTP.

Проблемный пример:

upstream app {
    server 127.0.0.1:8080;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/example/fullchain.pem;
    ssl_certificate_key /etc/ssl/example/privkey.pem;

    location / {
        proxy_pass https://app;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Если upstream не умеет TLS, правильно так:

upstream app {
    server 127.0.0.1:8080;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/example/fullchain.pem;
    ssl_certificate_key /etc/ssl/example/privkey.pem;

    location / {
        proxy_pass http://app;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Host $host;
    }
}

Здесь всё логично: TLS завершается на Nginx, а дальше во внутренней сети трафик идёт по HTTP. Это штатная архитектура, а не компромисс.

Почему критичен X-Forwarded-Proto

Без заголовка X-Forwarded-Proto приложение часто считает, что его открыли по HTTP, хотя пользователь реально пришёл по HTTPS. Отсюда появляются кривые редиректы, mixed content, неправильные ссылки в письмах и ошибки callback URL.

Но самого заголовка мало. На стороне приложения нужно настроить доверие к нему только от ваших прокси. Иначе клиент сможет подделать этот заголовок напрямую.

Если вы строите многоуровневую схему с балансировщиком и несколькими прокси, полезно отдельно изучить различия между ingress и классическими reverse proxy. По теме архитектуры пригодится материал про Ingress в k3s: выбор между Traefik, Nginx и HAProxy.

Частая причина №2: HTTPS health checks к HTTP backend

Ещё один очень частый случай: пользовательские запросы вроде бы работают, но балансировщик считает backend недоступным. Обычно это происходит потому, что health checks настроены на HTTPS, хотя приложение отдаёт endpoint проверки по HTTP.

Снаружи сервис может работать по TLS, а внутренние проверки ходят на приватный адрес или локальный порт. Если проверка пытается установить TLS на HTTP-порт, backend будет помечаться как down, даже если само приложение живо и отвечает нормально.

Из-за этого вы можете видеть 502 или 503 без явных ошибок на фронте: пул upstream просто опустел с точки зрения балансировщика.

Пример в HAProxy

В HAProxy важно различать frontend с TLS termination и backend с plain HTTP. Если backend не умеет TLS, не добавляйте параметр ssl к серверу и не делайте HTTPS-check без причины.

Корректный пример HTTP-backend с явной проверкой:

frontend https_in
    bind :443 ssl crt /etc/haproxy/certs/example.pem
    mode http
    default_backend app_http

backend app_http
    mode http
    option httpchk GET /healthz HTTP/1.1
    http-check send hdr Host example.com
    http-check expect status 200
    server app1 127.0.0.1:8080 check

Проблемный вариант выглядел бы иначе: к backend-серверу добавили ssl, либо health check фактически пытается говорить по TLS с портом 8080. В такой конфигурации HAProxy вполне может исключить сервер из ротации, хотя приложение исправно работает.

Если же backend действительно должен принимать HTTPS, тогда нужно последовательно проверить всё: слушает ли он TLS, совпадает ли имя узла, нужен ли SNI, и использует ли check правильный hostname. Полезно также отдельно посмотреть материал про TLS termination и современные режимы работы HAProxy, чтобы не смешивать разные модели обработки трафика.

Надежные SSL-сертификаты

Мы предлагаем широкий спектр SSL-сертификатов от GlobalSign по самым низким ценам. Поможем с покупкой и установкой SSL бесплатно!

Подробнее

Если ошибка связана не со схемой, а уже с выпуском и установкой сертификатов на фронтовом прокси, пригодятся SSL-сертификаты для публичных сервисов, где важно корректно закрыть внешний HTTPS-контур.

Та же проблема во внешнем мониторинге

Во внутренних агентах мониторинга тоже легко ошибиться: кто-то прописывает https://127.0.0.1:8080/health, хотя локальный сервис умеет только HTTP. После миграции на HTTPS это особенно часто случается, когда меняют внешние адреса, но забывают про внутренние probe и checks.

Частая причина №3: backend делает redirect на HTTPS, не понимая прокси

Иногда сам reverse proxy настроен правильно: внешний клиент приходит по HTTPS, прокси общается с приложением по HTTP, часть заголовков передаётся. Но backend или встроенный веб-сервер приложения не доверяет X-Forwarded-Proto и видит только локальный HTTP-запрос от прокси.

Дальше происходит типовая неприятность: приложение решает, что его открыли по HTTP, и делает redirect на HTTPS. Прокси снова приходит к backend по HTTP, backend снова редиректит. В результате вы получаете цикл редиректов, нестабильную авторизацию или косвенные попытки отдельных внутренних клиентов пойти на backend уже по HTTPS.

Если TLS завершается на proxy, приложение должно знать две вещи: исходный запрос был HTTPS и доверять этому знанию можно только от ваших прокси.

Поэтому ищите в приложении настройки вида trusted proxies, secure proxy header, forwarded headers, proxy mode, force HTTPS behind proxy. Без этого один только прокси проблему не решает.

Конфигурация в Caddy: где ошибаются чаще всего

Caddy удобен тем, что хорошо автоматизирует внешний HTTPS. Но из-за этой простоты легко забыть, что внутренний upstream может быть обычным HTTP. В блоке reverse_proxy нужно указывать реальную схему backend, а не желаемую.

Корректный вариант:

example.com {
    reverse_proxy http://127.0.0.1:8080
}

Проблемный вариант:

example.com {
    reverse_proxy https://127.0.0.1:8080
}

Если на 8080 нет TLS, ошибка воспроизведётся сразу. То же относится к активным проверкам и внешнему мониторингу: они должны использовать именно тот протокол, который реально обслуживается на upstream.

Пошаговый runbook для диагностики

Если нужен короткий практический алгоритм, используйте такой порядок:

1. Определите источник ошибки: браузер, curl, Nginx, HAProxy, Caddy, контейнер, health checker.
2. Нарисуйте маршрут запроса, например: клиент → HAProxy:443 → Nginx:80 → app:8080.
3. Для каждого хопа зафиксируйте схему: где HTTPS, где HTTP, где происходит tls termination.
4. Проверьте backend-порты локально через curl -I http://IP:PORT и curl -vk https://IP:PORT.
5. Сверьте конфиг прокси: proxy_pass, backend server, наличие ssl в HAProxy, схему в Caddy.
6. Проверьте health checks отдельно от основного трафика.
7. Убедитесь, что X-Forwarded-Proto передаётся и приложение ему доверяет.
8. Проверьте редиректы: backend не должен принудительно ломать внутренний HTTP, если TLS уже завершён снаружи.

После исправления обязательно прогоните повторную проверку не только снаружи, но и по внутренним адресам. Очень часто сайт уже открылся, а health checks всё ещё падают, и проблема возвращается после следующего reload.

Итог

Ошибка server gave HTTP response to HTTPS client почти никогда не бывает случайной. Это прямой признак того, что один компонент цепочки ожидает TLS, а другой отвечает plain HTTP. В Linux-инфраструктуре это чаще всего связано с неверным backend scheme, некорректными health checks, непониманием модели tls termination или отсутствием корректного X-Forwarded-Proto.

Самый надёжный способ исправления — не гадать, а разложить маршрут запроса по шагам. Где заканчивается TLS? Кто и куда ходит по HTTP? Какие порты реально слушают HTTPS? Какие проверки работают отдельно от пользовательского трафика? После такой инвентаризации причина обычно становится очевидной за несколько минут.

Если держать дисциплину в трёх точках — внешняя схема, внутренняя схема и отдельная проверка health checks, — подобные ошибки устраняются быстро и потом почти не возвращаются.