Илья Шипицин
January 09, 2020 11:38PM
пт, 10 янв. 2020 г. в 07:07, Gena Makhomed <gmm@csdoc.com>:

> Здравствуйте, All!
>
> SSL Configuration Generator https://ssl-config.mozilla.org/
>
> Предлагает для конфигурации Intermediate (General-purpose servers with a
> variety of clients, recommended for almost all systems)
> в конфиге nginx включать ssl_dhparam:
>
> # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam.pem
> ssl_dhparam /path/to/dhparam.pem;
>
> Причем, содержимое файла, куда указывает директива ssl_dhparam
> будет одинаковым у всех, кто воспользуется этим советом. (!!!)
>
> И прописывать в директиву ssl_ciphers
> в том числе и DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384.
>
> Не совсем понятен смысл этого действия.
>
> Начиная с версии 1.11.0 (вышла 24 мая 2016 года) для того чтобы включить
> поддержку DHE-шифров - необходимо явно задавать директиву ssl_dhparam.
>
> Но если посмотреть по результатам https://www.ssllabs.com/ssltest/
> включение или выключение ssl_dhparam практически ни на что не влияет.
>
> Более широкой поддержки со стороны клиентов не появляется,
> единственное изменение, которое удалось заметить - это то,
> что IE 11 начинает использовать DHE вместо ECDHE. И на этом всё.
>
> Рекомендация сайта https://ssl-config.mozilla.org/ является разумной?
> ssl_dhparam действительно лучше будет в 2020 включать в конфиге nginx?
>
> Или же создатели сайта https://ssl-config.mozilla.org/ ошибаются,
> и ssl_dhparam лучше не включать и DHE-шифры из директивы ssl_ciphers
> лучше будет убрать?
>
> Если создатели сайта https://ssl-config.mozilla.org/ ошибаются,
> то осознать свою ошибку они смогут наверное только после того,
> как им об этом напишет кто-то из разработчиков nginx?
>
>
об этом кто угодно может завести баг

https://github.com/mozilla/ssl-config-generator


> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

SSL Configuration Generator https://ssl-config.mozilla.org/

Gena Makhomed January 09, 2020 09:08PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Илья Шипицин January 09, 2020 11:38PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Gena Makhomed January 10, 2020 12:22AM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Илья Шипицин January 10, 2020 01:42AM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Gena Makhomed January 10, 2020 06:54AM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Илья Шипицин January 10, 2020 08:04AM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Gena Makhomed January 10, 2020 12:02PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Илья Шипицин January 14, 2020 04:02PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Maxim Dounin January 10, 2020 08:06AM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Gena Makhomed January 21, 2020 10:06PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Maxim Dounin January 22, 2020 12:14PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Evgeniy Berdnikov January 22, 2020 02:18PM

Re: SSL Configuration Generator https://ssl-config.mozilla.org/

Илья Шипицин January 22, 2020 02:42PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 78
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready