「Nginx」:修訂間差異
跳至導覽
跳至搜尋
| 第1行: | 第1行: | ||
{{Lowercase}} | {{Lowercase}} | ||
== 設定 == | |||
=== SSL === | |||
跟其他網站上建議的有些差異: | |||
* 直接關掉<code>TLSv1.1</code>,因為就瀏覽器安全性來說一定要用<code>TLSv1.2</code>,就瀏覽器支援度來說則是開<code>TLSv1.1</code>,目前沒有看到需要開<code>TLSv1.1</code>才會動情況,直接關掉反而可以避免nginx實做<code>TLSv1.1</code>有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高...)。 | |||
在<code>/etc/nginx/conf.d/ssl.conf</code>內: | |||
<pre> | |||
ssl_protocols TLSv1 TLSv1.2; | |||
ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5"; | |||
ssl_dhparam /etc/ssl/certs/dhparam.pem; | |||
ssl_session_cache shared:SSL:30m; | |||
ssl_session_timeout 30m; | |||
</pre> | |||
== 外部連結 == | == 外部連結 == | ||
於 2018年4月18日 (三) 03:20 的修訂
設定
SSL
跟其他網站上建議的有些差異:
- 直接關掉
TLSv1.1,因為就瀏覽器安全性來說一定要用TLSv1.2,就瀏覽器支援度來說則是開TLSv1.1,目前沒有看到需要開TLSv1.1才會動情況,直接關掉反而可以避免nginx實做TLSv1.1有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高...)。
在/etc/nginx/conf.d/ssl.conf內:
ssl_protocols TLSv1 TLSv1.2; ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5"; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_cache shared:SSL:30m; ssl_session_timeout 30m;
外部連結
- 官方網站 (英文)