nginx 1.19.4 и настройка suites в TLS 1.3

suffix
На сайте с 26.08.2010
Offline
300
367

 Вышла новая версия nginx в которой наконец-то дана возможность редактирования suites в TLS 1.3.

Вот как я сделал в своей локации:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

Как результат:

https://www.ssllabs.com/ssltest/analyze.html?d=www.babai.ru&s=2a07:ac80:0:4b:0:0:0:2

P.S.

Это пример - обратите внимание что с очень старых устройств/ОС сайт будет недоступен.

Клуб любителей хрюш (https://www.babai.ru)
WebAlt
На сайте с 02.12.2007
Offline
228
#1
 Для вас возможно и старые девайсы, только их вагон и маленькая тележка, и вполне платёжеспособны,  для коммерции это недопустимо. ;)
РФ, Москва, ISPmanager 6: хостинг с администрированием от 110 ₽ - https://ispserver.ru/?from=21976 | аренда VPS/VDS от 239 ₽ - https://firstvds.ru/?from=21976 | выделенные серверы - https://firstdedic.ru/?from=21976
suffix
На сайте с 26.08.2010
Offline
300
#2
WebAlt #:
 Для вас возможно и старые девайсы, только их вагон и маленькая тележка, и вполне платёжеспособны,  для коммерции это недопустимо. ;)

Так я специально же и написал об этом !

Пост же не о конкретно  об моей реализации а о новой версии nginx в которой стало возможно управлять suites в TLS 1.3.

Например сейчас можно оставить только chacha или выдвинуть её на первое предпочитаемое место.

Вообщем управлять стало возможно из nginx командами openssl !

Евгений Крупченко
На сайте с 27.09.2003
Offline
182
#3

так и раньше же можно было это настроить. только не в nginx конфиге, а в openssl.cnf

однако AES128 убирать ради 100ки в ssllabs не стоит как по мне. он ведь чуть быстрей.

пока его не помечает там желтым, пусть лучше включен. плюс без него больше неподдерживаемых девайсов.

если уж загоняться, то можно и key exchange до 100 довести, увеличив размер ключа с 2048 до 4096. но опять же, в ущерб скорости :(


я делаю приоритет aes128, следом aes256 (чтоб баллы не терять в ssllabs), потом chacha для без-aes клиентов. остальное все убрано.


https://www.ssllabs.com/ssltest/analyze.html?d=vovk.com

suffix
На сайте с 26.08.2010
Offline
300
#4
Евгений Крупченко #:

так и раньше же можно было это настроить. только не в nginx конфиге, а в openssl.cnf


1. Да, но так удобнее

2. Ну в современных процессорах с аппаратной поддержкой AES шифровния разницы в скорости 128 и 256 практически нет. А вот key 4096 пока избыточен - Вы правы.

3. Ваш подбор шрифтов совершенно нормален - повторюсь эта тема не о выборе шрифтов а о новом функционале в nginx :)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий