「Nginx」:修訂間差異
跳至導覽
跳至搜尋
| 第9行: | 第9行: | ||
; 調低SHA-1(<code>SHA</code>)優先權: | ; 調低SHA-1(<code>SHA</code>)優先權: | ||
: 因為目前還是有瀏覽器不支援較新的<code>SHA256</code>(配合<code>AES128</code>)或<code>SHA384</code>(配合<code>AES256</code>),所以還是得支援SHA-1,但優先權儘量排低。 | : 因為目前還是有瀏覽器不支援較新的<code>SHA256</code>(配合<code>AES128</code>)或<code>SHA384</code>(配合<code>AES256</code>),所以還是得支援SHA-1,但優先權儘量排低。 | ||
; 試著支援非NIST架構的協定: | |||
: 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(<code>CAMELLIA128</code>)讓使用者可以用。之後會規劃ChaCha20+Poly1305。 | |||
針對以上的架構,在<code>/etc/nginx/conf.d/ssl.conf</code>內的設定如下: | 針對以上的架構,在<code>/etc/nginx/conf.d/ssl.conf</code>內的設定如下: | ||
於 2018年4月18日 (三) 03:29 的修訂
設定
SSL
跟其他網站上建議的有些差異:
- 直接關掉
TLSv1.1: - 因為就瀏覽器安全性來說一定要用
TLSv1.2,就瀏覽器支援度來說則是開TLSv1.1,目前沒有看到需要開TLSv1.1才會動情況,直接關掉反而可以避免nginx實做TLSv1.1有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高)。 - 調低SHA-1(
SHA)優先權: - 因為目前還是有瀏覽器不支援較新的
SHA256(配合AES128)或SHA384(配合AES256),所以還是得支援SHA-1,但優先權儘量排低。 - 試著支援非NIST架構的協定:
- 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(
CAMELLIA128)讓使用者可以用。之後會規劃ChaCha20+Poly1305。
針對以上的架構,在/etc/nginx/conf.d/ssl.conf內的設定如下:
ssl_protocols TLSv1 TLSv1.2; ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5"; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_cache shared:SSL:30m; ssl_session_timeout 30m;
外部連結
- 官方網站 (英文)