Nginx:修订间差异
跳到导航
跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
(→設定) |
(→設定) |
||
第18行: | 第18行: | ||
: 因為目前還是有瀏覽器不支援較新的<code>SHA256</code>(配合<code>AES128</code>)或<code>SHA384</code>(配合<code>AES256</code>),所以還是得支援SHA-1,但優先權儘量排低。 | : 因為目前還是有瀏覽器不支援較新的<code>SHA256</code>(配合<code>AES128</code>)或<code>SHA384</code>(配合<code>AES256</code>),所以還是得支援SHA-1,但優先權儘量排低。 | ||
; 試著支援非NIST架構的協定: | ; 試著支援非NIST架構的協定: | ||
: 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(<code>CAMELLIA128</code>)讓使用者可以用。之後會規 | : 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(<code>CAMELLIA128</code>)讓使用者可以用。之後會規 劃將ChaCha20+Poly1305 放入列表(還在觀察,尤其是行動裝置上對AES的硬體加速支援反而使得ChaCha20+Poly1305未必比較快) 。 | ||
== 外部連結 == | == 外部連結 == |
2018年4月18日 (三) 03:51的版本
设定
SSL
在/etc/nginx/conf.d/ssl.conf
内的设定如下:
ssl_protocols TLSv1 TLSv1.2; ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:ECDH+CAMELLIA:DHE+CAMELLIA:!ADH:!AECDH:!DSS:!MD5"; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_cache shared:SSL:30m; ssl_session_timeout 30m;
这跟其他网站上建议的有些差异:
- 直接关掉
TLSv1.1
: - 因为就浏览器安全性来说一定要用
TLSv1.2
,就浏览器支援度来说则是开TLSv1.1
,目前没有看到需要开TLSv1.1
才会动情况,直接关掉反而可以避免nginx实做TLSv1.1
有问题时的风险(因为用的人少,眼球会比较少,这个协定风险反而比另外两个高)。 - 调低SHA-1(
SHA
)优先权: - 因为目前还是有浏览器不支援较新的
SHA256
(配合AES128
)或SHA384
(配合AES256
),所以还是得支援SHA-1,但优先权尽量排低。 - 试着支援非NIST架构的协定:
- 目前cipher都是NIST所选出的协定,所以还是多选了Camellia(
CAMELLIA128
)让使用者可以用。之后会规划将ChaCha20+Poly1305放入列表(还在观察,尤其是移动设备上对AES的硬件加速支援反而使得ChaCha20+Poly1305未必比较快)。
外部链接
- 官方网站 (英文)