Re: Хотел бы сделать такие правила для SSL:

Maxim Dounin mdounin на mdounin.ru
Ср Мар 28 16:34:54 UTC 2018


Hello!

On Wed, Mar 28, 2018 at 07:06:05PM +0300, Дугин Сергей wrote:

> У того же яндекса, видно что есть свой порядок
> https://www.ssllabs.com/ssltest/analyze.html?d=m.market.yandex.ru&s=87.250.250.22&latest
> 
> для SSL3 у них
> TLS_ECDHE_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_SHA
> 
> для для других протоколов другие совсем шифры.
> 
> Вот цитата сотрудников яндекса
> "Наконец,  для  несчастных  с  Internet  Explorer 6 на XP мы сохраняем
> шифры RC4 — других вариантов на этой платформе просто нет. При этом мы
> осознаем  вероятность  того, что этот шифр уязвим, поэтому доступен он
> только в случае хендшейка по протоколу SSLv3. Если клиент подключается
> с  более  современным  протоколом  —  TLS  1.0,  TLS 1.1 или TLS 1.2 —
> ciphersuite на основе RC4 не предлагается."
> 
> Очень хотелось бы сделать похожее, но как ?

В Яндексе, AFAIK, для этого художественно патчат OpenSSL.  
Возможно, тут есть кто-то из Яндекса (Эльдар?), кто сможет 
рассказать подробнее.

> В nginx+ есть такая возможность?

Нет.

-- 
Maxim Dounin
http://mdounin.ru/


Подробная информация о списке рассылки nginx-ru