<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">чт, 20 сент. 2018 г. в 0:25, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
On Wed, Sep 19, 2018 at 02:59:40AM +0500, Илья Шипицин wrote:<br>
<br>
[...]<br>
<br>
> > > Я не считаю использование "ssl_prefer_server_ciphers on"<br>
> > > правильным приблизительно нигде, кроме ситуаций, когда автор<br>
> > > конфигурации чётко понимает, чего он хочет добиться, и регулярно<br>
> > > занимается анализом и пересмотром списка используемых шифров.<br>
> > ><br>
> > > И даже в этом случае - его использование подчас выходит боком, как<br>
> > > например с выбором AES vs. ChaCha20:<br>
> > ><br>
> > > <a href="https://trac.nginx.org/nginx/ticket/1445" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/1445</a><br>
> ><br>
> > Теперь понял, спасибо за подробное объяснение по этому вопросу.<br>
> ><br>
> <br>
> <br>
>  на Xeon chacha20 проигрывает, мы сравнили<br>
> <br>
> openssl speed -evp chacha20<br>
> <br>
> с<br>
> <br>
> openssl speed -evp aes-128-gcm<br>
> <br>
> желание приоритезировать chacha20 отпало<br>
<br>
Проблема с ChaCha20 vs. AES - в том, что ChaCha20 получается <br>
гораздо менее энергозатратным шифром для мобильных устройств, <br>
и его использование вместо AES - позволяет телефонам дольше <br>
работать от батарейки.  Для нормальных же компьютеров с поддержкой <br>
AES-NI - наоборот, лучше AES.<br></blockquote><div><br></div><div>я думаю, правильно в данном случае поступить таким образом.</div><div>я эксплуатирую сервера, и снижаю нагрузку на них.</div><div><br></div><div>а про телефоны пусть голова болит у тех, кто их программирует. голова у них большая ))</div><div>не надо нам за это переживать<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Соответственно если хочется получить оптимальный для клиента <br>
результат - надо смотреть на то, что хочет клиент.  При этом <br>
понятно, что для самого сервера - это может быть не самое <br>
оптимальное решение, но с учётом производительности что ChaCha20, <br>
что AES - это вряд ли будет заметно.<br>
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>