Форум Сайтостроение Администрирование серверов

nginx ssl оптимизация

1 23
LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#21
Х.З. #:
Приветствую. "Обновил" openssl  # openssl version OpenSSL 1.1.1g  21 Apr 2020, затем обновил nginx посредством yum, но nginx обновился со старым openssl - built with OpenSSL 1.0.1e-fips 11 Feb 2013  #nginx/1.19.0 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013, вручную собирать nginx или можно как то сделать так, что бы в будущем не заниматься ручной сборкой nginx?

Нужно поставить более новую ОС.

Например Centos 8 и там всё из коробки идёт.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
ХЗ
На сайте с 31.08.2008
Offline
155
Х.З.
#22
Обновил nginx:  nginx/1.19.0 built by gcc 7.3.1 20180303 (Red Hat 7.3.1-5) (GCC) built with OpenSSL 1.1.1g  21 Apr 2020
........' --with-openssl=/root/openssl-1.1.1g --with-openssl-opt=enable-tls1_3 Непонятно почему не хочет работать новый протокол
baas
На сайте с 17.09.2012
Offline
171
baas
#23

Все в порядке, после заполнения кэша у кэщирующего днс, отдача  ssl_stapling   прошла верна  OCSP stapling  Yes.

Nginx поддерживает stapling только в качестве кэша, поэтому если в данный момент у него нет действительного ocsp для запроса, он отвечает браузеру без stapling и исправляет сервер ocsp, чтобы сохранить его для дальнейшего использования, как то так.

И из консоле компа тоже стала выводится информация.

openssl s_client -connect site.net:443 -status 2>&1 | grep "OCSP"
OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
Долгое ожидание первой страницы HTTPS в 2017 Прокачка пф через cdn
baas
На сайте с 17.09.2012
Offline
171
baas
#24

Для сведения, нашел интересный материал от мазиллы.

Где есть рекомендуемые параметры для протоколов tls.

Мазила рекомендует параметры чипсетов такие.

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx

И автоматический генератор кода вэб сервера от мазиллы, это если кто не хочет разбираться в параметрах.

https://ssl-config.mozilla.org/

Security/Server Side TLS - MozillaWiki
Security/Server Side TLS - MozillaWiki
  • wiki.mozilla.org
The goal of this document is to help operational teams with the configuration of TLS. All Mozilla websites and deployments should follow the recommendations below. Mozilla maintains this document as a reference guide for navigating the TLS landscape, as well as a configuration generator to assist system administrators. Changes are reviewed and...
Nginx отдает статику в Настройка tls в exim SSL: Nginx TLS ciphers
E
На сайте с 01.03.2011
Offline
173
evgeniymx
#25
Х.З. #:
Приветствую. "Обновил" openssl  # openssl version OpenSSL 1.1.1g  21 Apr 2020, затем обновил nginx посредством yum, но nginx обновился со старым openssl - built with OpenSSL 1.0.1e-fips 11 Feb 2013  #nginx/1.19.0 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013, вручную собирать nginx или можно как то сделать так, что бы в будущем не заниматься ручной сборкой nginx?

скиньте сорцы свежего openssl и соберите nginx вручную добавив к ./configure строку --with-openssl

затем при помощи hold или versionlock или exclude в yum пометьте nginx как необновляемый пакет 

baas
На сайте с 17.09.2012
Offline
171
baas
#26
Народ, а кто нибудь оптимизировал параметр в nginx ssl_buffer_size, как его правильно рассчитать?
1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий