Nginx:修订间差异

来自Gea-Suan Lin's Wiki
跳到导航 跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
→‎SSL
第3行: 第3行:
== 設定 ==
== 設定 ==
=== SSL ===
=== SSL ===
  跟其他網站上建議 有些差異
  在<code>/etc/nginx/conf.d/ssl.conf</code>內 設定如下
<pre>
ssl_protocols TLSv1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5";
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_cache shared:SSL:30m;
ssl_session_timeout 30m;
</pre>


這跟其他網站上建議的有些差異:
; 直接關掉<code>TLSv1.1</code>:
; 直接關掉<code>TLSv1.1</code>:
: 因為就瀏覽器安全性來說一定要用<code>TLSv1.2</code>,就瀏覽器支援度來說則是開<code>TLSv1.1</code>,目前沒有看到需要開<code>TLSv1.1</code>才會動情況,直接關掉反而可以避免nginx實做<code>TLSv1.1</code>有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高)。
: 因為就瀏覽器安全性來說一定要用<code>TLSv1.2</code>,就瀏覽器支援度來說則是開<code>TLSv1.1</code>,目前沒有看到需要開<code>TLSv1.1</code>才會動情況,直接關掉反而可以避免nginx實做<code>TLSv1.1</code>有問題時的風險(因為用的人少,眼球會比較少,這個協定風險反而比另外兩個高)。
第11行: 第19行:
; 試著支援非NIST架構的協定:
; 試著支援非NIST架構的協定:
: 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(<code>CAMELLIA128</code>)讓使用者可以用。之後會規劃ChaCha20+Poly1305。
: 目前cipher都是NIST所選出的協定,所以還是多選了Camellia(<code>CAMELLIA128</code>)讓使用者可以用。之後會規劃ChaCha20+Poly1305。
針對以上的架構,在<code>/etc/nginx/conf.d/ssl.conf</code>內的設定如下:
<pre>
ssl_protocols TLSv1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5";
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_cache shared:SSL:30m;
ssl_session_timeout 30m;
</pre>


== 外部連結 ==
== 外部連結 ==

2018年4月18日 (三) 03:32的版本

设定

SSL

/etc/nginx/conf.d/ssl.conf内的设定如下: 

ssl_protocols TLSv1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES+SHA384:DH+AES+SHA384:ECDH+AES+SHA256:DH+AES+SHA256:ECDH+AES128:DH+AES128:DHE-RSA-CAMELLIA128-SHA:!3DES:!ADH:!AECDH:!DES:!DSS:!MD5";
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_cache shared:SSL:30m;
ssl_session_timeout 30m;

这跟其他网站上建议的有些差异:

直接关掉TLSv1.1
因为就浏览器安全性来说一定要用TLSv1.2,就浏览器支援度来说则是开TLSv1.1,目前没有看到需要开TLSv1.1才会动情况,直接关掉反而可以避免nginx实做TLSv1.1有问题时的风险(因为用的人少,眼球会比较少,这个协定风险反而比另外两个高)。
调低SHA-1(SHA)优先权:
因为目前还是有浏览器不支援较新的SHA256(配合AES128)或SHA384(配合AES256),所以还是得支援SHA-1,但优先权尽量排低。
试著支援非NIST架构的协定:
目前cipher都是NIST所选出的协定,所以还是多选了Camellia(CAMELLIA128)让使用者可以用。之后会规划ChaCha20+Poly1305。

外部连结

取自“https://wiki.gslin.org/index.php?title=Nginx&oldid=472