Welcome! Log In Create A New Profile

Advanced

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Maxim Dounin
December 19, 2016 08:18AM
Hello!

On Mon, Dec 19, 2016 at 05:37:11AM -0500, vitcool wrote:

> начинаю разбираться с настрйоками HTTPS под nginx, подскажите пожалуйста,
> что тут можно поправить?
> PS: данная конфигурация работает, но вдруг я что то упустил
>
> server {
> listen 443 ssl;
> server_name cdn.vianor-tyres.ru;
>
> ssl_certificate /etc/nginx/ssl/domain.crt;
> ssl_certificate_key /etc/nginx/ssl/domain.key;
> ssl_session_cache shared:SSL:10m;
> ssl_session_timeout 5m;
> ssl_prefer_server_ciphers on;
> # ssl_stapling on; - в сертификате не задано орг нейм, nginx ругается
> если включить эту опцию
> ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
> ssl_ciphers "RC4:HIGH:!aNULL:!MD5:!kEDH";
> add_header Strict-Transport-Security 'max-age=604800';

Есть мнение, что RC4 и SSLv3 в современном мире лучше не надо. Ну
и ssl_prefer_server_ciphers лучше не включать, если вы не уверены
на 100% в том, что написали в ssl_ciphers.

Таймаут для ssl-сессий можно существенно больше, чем 5m. Если
ставить 5m - то и не надо ничего писать, это default.

Вообще я бы рекомендовал использовать настройки по умолчанию
везде, где нет явных причин делать по другому. Читай: настроить
ssl_session_cache и добавить заголовков по потребности, остальное
без нужды не трогать.

--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

Что еще можно добавить или исправить с точки зрения настройки SSL

vitcool December 19, 2016 05:37AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Andrey Kopeyko December 19, 2016 05:44AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Maksim Kulik December 19, 2016 06:12AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Andrey Kopeyko December 19, 2016 06:36AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Maxim Dounin December 19, 2016 08:18AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Иван December 19, 2016 11:04AM

Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Gena Makhomed December 19, 2016 11:20AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 54
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready