уже не первый год включены лишь tls 1.2 и 1.3, остальное выключено.
крайне изредка кто-то под какой-нибудь winxp или ie древним замечает мол не открывается сайт и жалуется.
объясняю что да как. соглашаются что так пусть и остается.
пример сайта:
https://www.ssllabs.com/ssltest/analyze.html?d=vovk.com
ни одного "желтого", лишь кое-что красное из-за тех самых отключенных более старых протоколов.
все "зеленые полоски" можно довести до максимума, увеличив размеры ключей с 2048 до 4096
но это немного отразится на производительности. пока не помечает ssllabs желтым, пусть остается так.
Strict-Transport-Security тоже включен, но надо осознавать потенциальную проблему перехода обратно с https на http.
если к примеру вздумается и по http домен открыть, на который браузер уже заходил с таким заголовком, то ничего не получится. браузер будет упорно ломиться только на https сразу пока не наступит таймаут указанный в max-age
сбросить это можно, но не так просто как куки например.
по шифрам. у меня так:
ssl_prefer_server_ciphers on;ssl_ciphers 'ECDHE:+AES256:+CHACHA20:!AESCCM:!SHA384:!SHA256:!SHA:-3DES:!NULL:!RC4:!ARIA:!CAMELLIA';т.е. сообщаем о приоритете шифров сервера, а не клиента.
потом AES256 - как среднее между менее быстрым AES384 и более быстрым, но менее безопасным (или ssllabs его желтым отмечает, уж не помню) AES128.
CHACHA20 - для клиентов, чьи процессоры не имеют аппаратного AES.
остальное отключено (! знак)
помимо этого, nginx использует openssl, в которой тоже можно настроить шифры, протоколы и т.д.
у меня допустим так сделано:
в файле openssl.cnf добавлено:
[ssl_sect]system_default = system_default_sect[system_default_sect]MinProtocol = TLSv1.2Ciphersuites = TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256CipherString = ECDHE:+AES256:+CHACHA20:!AESCCM:!SHA384:!SHA256:!SHA:-3DES:!NULL:!RC4:!ARIA:!CAMELLIAOptions = ServerPreference,PrioritizeChaCha
т.е. тоже самое, протоколы только tls 1.2 и 1.3
те же шифры AES256 и CHACHA20, но еще доступен также AES128 (уж не вспомню так с ходу почему и зачем)
PrioritizeChaCha - там как-то хитро помнится... клиенты, которые могут AES, все равно будут AES256 использовать. а это лишь для тех кто не может.
это тоже включено у меня:
ssl_stapling on;ssl_stapling_verify on;но! не так давно из-за этого возникала одна проблема, которую не так просто было обнаружить.
суть вроде в том была, что при этом еще происходит обращение к dns серверам (из /etc/resolv.conf или там же в nginx конфиге resolver и resolver_timeout)
так вот однажды заметил что https сайты как-то тормознуто отвечают. начал ковырять, при перезагрузке nginx вообще страшно медленно это делал.
оказалось что по какой-то причине временно была плохая связь с гугловскими днс (8.8.8.8) или они сами по себе подтормаживали.
и при перезапуске nginx с парой сотен доменов с сертификатами и ssl_stapling'ом, происходило множество обращений к dns и отсюда тормоза.
в итоге решил дополнительной установкой локального кэширующего dnsmasq и указанием его как единственного в системе.
после чего nginx стал перегружаться моментом и все тормоза пропали.
вот такая история, о которой надо помнить, используя ssl_stapling
да, тоже столкнулся с этим "Tainted" как только вышел 4.94
суть в том что ради большей безопасности теперь он отказыватся оперировать с файлами, используя любые данные, пришедшие из вне, т.е. из ненадежного источника.
можно только из локальных конфиг-файлов, баз.
если раньше например можно было сохранять почту по какому-то локальному пути, используя ту же переменную $sender_address_domain, то теперь нет.
в общем пришлось править свои конфиги чтоб снова все заработало.
о чем собственно так было и сказано:
https://git.exim.org/exim.git/blob/HEAD:/src/README.UPDATING
Some Transports now refuse to use tainted data in constructing their delivery location; this WILL BREAK configurations which are not updated accordingly.
удивляет то, что такие довольно крупные перемены происходят в таком минорном переходе версий 4.93 -> 4.94, а не на 5.00 к примеру.
у многих наверняка сделаны обновления на автомате и никто не ожидает подобного подвоха.
мажорные обновления еще ладно, можно и нужно вручную делать, потом все проверять чтоб работало как положено. а тут... :(
не, ну надо ж хоть каплю сознательности иметь.
с таким же успехом можно к дворнику подойти и пообщаться на тему SEO, как приходить на "searchengines" с вопросом уборки территории.
и как бы там ни было, все равно 100% возьмете то что продается локально и сейчас. а не то, что купил кто-то за пару тыс. км или из другой страны вообще, да еще и 5 лет назад.
хотя кому я... смотрю из последних тем автора: "Мяско.. домашнее", "Ловите белку", "В монастырь", "Муха", "Как жить"...
пойду я.
предположим найдется тут второй, кто пользуется. напишет мол модель бк-1
дальше что?
пойдете в местный гипермаркет бензокос, потребуете исключительно бк-1. а в ответ - нет такой, старая модель, есть бк-2 и бк-3.
купите ее и все на этом закончится. не думаю, что будете искать повсюду исключительно бк-1, выписывать по интернетам... лишь потому что какой-то лёлик2005 с сёрча посоветовал.
смысл тогда этой темы?
зачем спрашивать здесь, а не у того, кто вам эту поделку делал? :)
кто-то должен вникать в это месиво?
как по-мне, на первый взгляд все ок. просто когда с другого домена (yandexwebcache.net а не vesnuwka.ru) открываете, то что-то перестает работать
по-сути проблемы никакой нет.
вы что корову покупаете? берите оба, делайте немного отличающиеся сайты и смотрите какой из них "выиграет", тот и оставите основным.
дополнительный лендинг никогда не помешает.
почему надо это спрашивать именно здесь, а не у своего хостера к примеру?
чтоб не лохануться, изучаете сперва сайт хостера, вникаете во все мелким шрифтом. может там так и написано, мол мы ограничиваем входящую скорость до 10мбит.
если ничего не видно подобного, значит запускаете у себя и на сервере:
apt install iperf3
потом на сервере:
ip a
копируете в буффер ip адрес
iperf3 -s
у себя:
iperf3 -c ip_адрес_сервера
и убеждаетесь, что проблема действительно скорей всего по сети, а не с curl или чем-то еще.
может оказаться, что iperf нормальную скорость покажет в обе стороны. тогда вероятно это работает шейпер где-то между вами и сервером.
curl заливает в 1 поток, который возможно и ограничивается до 10мбит.
если всеж действительно многопоточно лишь 10мбит, то делаете скрины (желательно по возможности то же самое проделать из другой какой-то точки, не только от себя) и предъявляете хостеру.
возможно скрытое оганичение, возможно "нечайно" ограничили вас и поправят. кроме них никто точней не скажет. уж тем более здесь на полупустом форуме, с которого все ушли после обновления :)
где, здесь кто-то знает? сомневаюсь.
позвоните им на горячую линию да спросите.
здесь можно лишь сплетни пораспускать.
начинаю...
https://searchengines.guru/ru/news/2047833
прикрыли краник с баблом, видимо пришлось переехать на впс'ку по-дешевле, вот и тормозит.
как поступить - продать сервер да и все. самое правильное решение исходя из предоставленных данных :)
какие задачи пытаемся решить не понятно. если все работает и всех все устраивает, то зачем что-то менять?
хотите чтоб получилось как с этим форумом?
