Nginx:修订间差异
跳到导航
跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
(→首段) |
(→設定) |
||
| 第4行: | 第4行: | ||
=== SSL === | === SSL === | ||
跟其他網站上建議的有些差異: | 跟其他網站上建議的有些差異: | ||
* 直接關掉<code>TLSv1.1</code>,因為就瀏覽器安全性來說一定要用<code>TLSv1.2</code>,就瀏覽器支援度來說則是開<code>TLSv1.1</code>,目前沒有看到需要開<code>TLSv1.1</code>才會動情況,直接關掉反而可以避免nginx實做<code>TLSv1.1</code>有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高 | * 直接關掉<code>TLSv1.1</code>,因為就瀏覽器安全性來說一定要用<code>TLSv1.2</code>,就瀏覽器支援度來說則是開<code>TLSv1.1</code>,目前沒有看到需要開<code>TLSv1.1</code>才會動情況,直接關掉反而可以避免nginx實做<code>TLSv1.1</code>有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高) 。 | ||
* 避免使用已經有風險的技術,像是SHA-1。但因為目前還是有瀏覽器不支援較新的SHA256(配合AES128)或SHA384(配合AES256),目前還是支援,但優先權儘量排低 。 | |||
在<code>/etc/nginx/conf.d/ssl.conf</code>內: | 在<code>/etc/nginx/conf.d/ssl.conf</code>內: | ||
2018年4月18日 (三) 03:25的版本
设定
SSL
跟其他网站上建议的有些差异:
- 直接关掉
TLSv1.1,因为就浏览器安全性来说一定要用TLSv1.2,就浏览器支援度来说则是开TLSv1.1,目前没有看到需要开TLSv1.1才会动情况,直接关掉反而可以避免nginx实做TLSv1.1有问题时的风险(因为用的人少,眼球会比较少,这个协定风险反而比另外两个高)。 - 避免使用已经有风险的技术,像是SHA-1。但因为目前还是有浏览器不支援较新的SHA256(配合AES128)或SHA384(配合AES256),目前还是支援,但优先权尽量排低。
在/etc/nginx/conf.d/ssl.conf内:
ssl_protocols TLSv1 TLSv1.2; ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5"; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_cache shared:SSL:30m; ssl_session_timeout 30m;
外部连结
- 官方网站 (英文)