nginx ssl оптимизация

1 23
LEOnidUKG
На сайте с 25.11.2006
Offline
1553
#21
Х.З. #:
Приветствую. "Обновил" openssl  # openssl version OpenSSL 1.1.1g  21 Apr 2020, затем обновил nginx посредством yum, но nginx обновился со старым openssl - built with OpenSSL 1.0.1e-fips 11 Feb 2013  #nginx/1.19.0 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013, вручную собирать nginx или можно как то сделать так, что бы в будущем не заниматься ручной сборкой nginx?

Нужно поставить более новую ОС.

Например Centos 8 и там всё из коробки идёт.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
ХЗ
На сайте с 31.08.2008
Offline
132
#22
Обновил nginx:  nginx/1.19.0 built by gcc 7.3.1 20180303 (Red Hat 7.3.1-5) (GCC) built with OpenSSL 1.1.1g  21 Apr 2020
........' --with-openssl=/root/openssl-1.1.1g --with-openssl-opt=enable-tls1_3 Непонятно почему не хочет работать новый протокол
baas
На сайте с 17.09.2012
Offline
122
#23

Все в порядке, после заполнения кэша у кэщирующего днс, отдача  ssl_stapling   прошла верна  OCSP stapling  Yes.

Nginx поддерживает stapling только в качестве кэша, поэтому если в данный момент у него нет действительного ocsp для запроса, он отвечает браузеру без stapling и исправляет сервер ocsp, чтобы сохранить его для дальнейшего использования, как то так.

И из консоле компа тоже стала выводится информация.

openssl s_client -connect site.net:443 -status 2>&1 | grep "OCSP"
OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
baas
На сайте с 17.09.2012
Offline
122
#24

Для сведения, нашел интересный материал от мазиллы.

Где есть рекомендуемые параметры для протоколов tls.

Мазила рекомендует параметры чипсетов такие.

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx

И автоматический генератор кода вэб сервера от мазиллы, это если кто не хочет разбираться в параметрах.

https://ssl-config.mozilla.org/

Security/Server Side TLS - MozillaWiki
Security/Server Side TLS - MozillaWiki
  • wiki.mozilla.org
The goal of this document is to help operational teams with the configuration of TLS. All Mozilla websites and deployments should follow the recommendations below. Mozilla maintains this document as a reference guide for navigating the TLS landscape, as well as a configuration generator to assist system administrators. Changes are reviewed and...
E
На сайте с 01.03.2011
Offline
130
#25
Х.З. #:
Приветствую. "Обновил" openssl  # openssl version OpenSSL 1.1.1g  21 Apr 2020, затем обновил nginx посредством yum, но nginx обновился со старым openssl - built with OpenSSL 1.0.1e-fips 11 Feb 2013  #nginx/1.19.0 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013, вручную собирать nginx или можно как то сделать так, что бы в будущем не заниматься ручной сборкой nginx?

скиньте сорцы свежего openssl и соберите nginx вручную добавив к ./configure строку --with-openssl

затем при помощи hold или versionlock или exclude в yum пометьте nginx как необновляемый пакет 

baas
На сайте с 17.09.2012
Offline
122
#26
Народ, а кто нибудь оптимизировал параметр в nginx ssl_buffer_size, как его правильно рассчитать?
1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий