<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Thanks for the quick response again Maxim. You make some excellent points:</div><div class="gmail_quote"><br></div><div class="gmail_quote">1. Best practices for cipher lists change over time. </div><div class="gmail_quote">2. ssl_prefer_server_ciphers is off by default</div><div class="gmail_quote"><br></div><div class="gmail_quote">For now: how about:</div><div class="gmail_quote"><div> - We use up to date values for NGX_DEFAULT_CIPHERS</div><div> - We turn on ssl_prefer_server_ciphers by default - having the server control the negotiation is recommended in every configuration guide</div><div> - We add an up to date <span style="font-size:12.8000001907349px">ssl_ciphers</span> example to the default config file</div><div> - Above the example, we add a comment with the point you've made above:</div><div><br></div><div># Security note: best practices for <span style="font-size:12.8000001907349px">ssl_ciphers frequently change over time.</span></div><div># Check <a href="https://mozilla.github.io/server-side-tls/ssl-config-generator" target="_blank">https://mozilla.github.io/server-side-tls/ssl-config-generator</a> for more recent settings<br></div><div><span style="font-size:12.8000001907349px"># ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:</span><span style="font-size:12.8000001907349px">ECDHE-ECDSA-AES128-GCM-SHA256:</span><span style="font-size:12.8000001907349px">ECDHE-RSA-AES256-GCM-SHA384:</span><span style="font-size:12.8000001907349px">ECDHE-ECDSA-AES256-GCM-SHA384:</span><span style="font-size:12.8000001907349px">DHE-RSA-AES128-GCM-SHA256:</span><span style="font-size:12.8000001907349px">ECDHE-RSA-AES128-SHA256:DHE-</span><span style="font-size:12.8000001907349px">RSA-AES128-SHA256:ECDHE-RSA-</span><span style="font-size:12.8000001907349px">AES256-SHA384:DHE-RSA-AES256-</span><span style="font-size:12.8000001907349px">SHA384:ECDHE-RSA-AES256-</span><span style="font-size:12.8000001907349px">SHA256:DHE-RSA-AES256-SHA256:</span><span style="font-size:12.8000001907349px">HIGH:!aNULL:!eNULL:!EXPORT:!</span><span style="font-size:12.8000001907349px">DES:!RC4:!MD5:!PSK:!SRP:!</span><span style="font-size:12.8000001907349px">CAMELLIA</span></div></div><div class="gmail_quote"><br></div><div class="gmail_quote">This would resolve the SSL Labs and Chrome warnings that currently show up with nginx, but make sure people configuring nginx are aware that they need to keep up to date, and shows them where they can get a more recent config. </div><div class="gmail_quote"><br></div><div class="gmail_quote">If the user is lazy and doesn't follow ssl happenings, they're still better out of the box. And actually giving them a URL to check might make them be a little more security conscious. </div><div class="gmail_quote"><br></div><div class="gmail_quote">How does that sound? </div><div class="gmail_quote"><br></div></div></div>