<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пт, 10 янв. 2020 г. в 10:21, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10.01.2020 6:37, Илья Шипицин wrote:<br>
<br>
> об этом кто угодно может завести баг<br>
> <a href="https://github.com/mozilla/ssl-config-generator" rel="noreferrer" target="_blank">https://github.com/mozilla/ssl-config-generator</a><br>
<br>
В исходном моем сообщении как раз и содержится вопрос - баг это или нет.<br></blockquote><div><br></div><div>в общем-то вы сами и ответили на свой вопрос. включение или не включение dh_param это ваше желание или нежелание</div><div>использовать DHE-сьюты. они являются менее криптостойкими чем ECDHE, которые практически повсеместно распространены (что</div><div>вы и видите по ssl labs).</div><div><br></div><div>если у вас есть какие-то клиенты, которые не умеют ECDHE, для них DHE может быть хорошим выбором. но это будет стоить вам небольшим понижением рейтинга</div><div>на ssl labs (с A+ до A).<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Кроме того, в одном из тикетов<br>
<a href="https://github.com/mozilla/ssl-config-generator/issues/69" rel="noreferrer" target="_blank">https://github.com/mozilla/ssl-config-generator/issues/69</a><br>
они прямо признаются что плохо себе представляют как работает<br>
nginx внутри и что им бы очень не помешала квалифицированная<br>
помощь от разработчиков nginx.<br>
<br>
Завести issue - не проблема. Проблема в том, чтобы понять,<br>
почему это поведение - баг, и в том, чтобы доходчиво объяснить<br>
это создателям сайта <a href="https://ssl-config.mozilla.org/" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/</a></blockquote><div><br></div><div><br></div><div>в этом плане ssl labs в помощь. он дает просто отличную картину по эмуляции клиентских хендшейков.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
-- <br>
Best regards,<br>
  Gena<br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>