Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: ssl_prefer_server_ciphers
On 12.09.2013 12:10, Anton Yuzhaninov wrote:
Если думать о производительности то прежде всего нужно запретить 3DES,
безопасность от этого не сильно пострадает:
http://zombe.es/post/4078724716/openssl-cipher-selection
а если думать о безопасности - тогда наверное имеет смысл включить
Forward Secrecy для всех браузеров и клиентов, которые это умеют:
https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy
причем на выбор есть три варианта - "with RC4" для защиты от BEAST,
вообще "without RC4" и "RC4 enabled, but used only as a last resort".
судя по сайту http://www.ie6countdown.com/ - IE6 в России 1.7%,
но если надо чтобы и он работал - тогда придется включить SSLv3
да и по производительности AES ведь обгоняет RC4,
если процессор поддерживает набор команд AES-NI.
получается такой вариант:
если "BEAST attack considered sufficiently mitigated client-side"
и процессор поддерживает AES-NI и nginx скомпилирован с openssl 1.0.1+
и необходима поддержка IE6 под Windows XP, тогда оптимальный вариант:
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM
EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384
EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA
RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4";
ssl_dhparam /etc/tls/dh2048/dh2048.pem;
ssl_session_cache shared:SSL:4M;
ssl_session_timeout 120m;
ssl_stapling on;
resolver 8.8.8.8 8.8.4.4;
тогда тест https://www.ssllabs.com/ssltest/ говорит:
"This server supports Forward Secrecy with modern browsers."
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
| 
