
<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">чт, 20 сент. 2018 г. в 0:25, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>


<br>


On Wed, Sep 19, 2018 at 02:59:40AM +0500, Илья Шипицин wrote:<br>


<br>


[...]<br>


<br>


> > > Я не считаю использование "ssl_prefer_server_ciphers on"<br>


> > > правильным приблизительно нигде, кроме ситуаций, когда автор<br>


> > > конфигурации чётко понимает, чего он хочет добиться, и регулярно<br>


> > > занимается анализом и пересмотром списка используемых шифров.<br>


> > ><br>


> > > И даже в этом случае - его использование подчас выходит боком, как<br>


> > > например с выбором AES vs. ChaCha20:<br>


> > ><br>


> > > <a href="https://trac.nginx.org/nginx/ticket/1445" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/1445</a><br>


> ><br>


> > Теперь понял, спасибо за подробное объяснение по этому вопросу.<br>


> ><br>


> <br>


> <br>


>  на Xeon chacha20 проигрывает, мы сравнили<br>


> <br>


> openssl speed -evp chacha20<br>


> <br>


> с<br>


> <br>


> openssl speed -evp aes-128-gcm<br>


> <br>


> желание приоритезировать chacha20 отпало<br>


<br>


Проблема с ChaCha20 vs. AES - в том, что ChaCha20 получается <br>


гораздо менее энергозатратным шифром для мобильных устройств, <br>


и его использование вместо AES - позволяет телефонам дольше <br>


работать от батарейки.  Для нормальных же компьютеров с поддержкой <br>


AES-NI - наоборот, лучше AES.<br></blockquote><div><br></div><div>я думаю, правильно в данном случае поступить таким образом.</div><div>я эксплуатирую сервера, и снижаю нагрузку на них.</div><div><br></div><div>а про телефоны пусть голова болит у тех, кто их программирует. голова у них большая ))</div><div>не надо нам за это переживать<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<br>


Соответственно если хочется получить оптимальный для клиента <br>


результат - надо смотреть на то, что хочет клиент.  При этом <br>


понятно, что для самого сервера - это может быть не самое <br>


оптимальное решение, но с учётом производительности что ChaCha20, <br>


что AES - это вряд ли будет заметно.<br>


<br>


-- <br>


Maxim Dounin<br>


<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>