
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пт, 10 янв. 2020 г. в 07:07, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Здравствуйте, All!<br>


<br>


SSL Configuration Generator <a href="https://ssl-config.mozilla.org/" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/</a><br>


<br>


Предлагает для конфигурации Intermediate (General-purpose servers with a <br>


variety of clients, recommended for almost all systems)<br>


в конфиге nginx включать ssl_dhparam:<br>


<br>


# curl <a href="https://ssl-config.mozilla.org/ffdhe2048.txt" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/ffdhe2048.txt</a> > /path/to/dhparam.pem<br>


ssl_dhparam /path/to/dhparam.pem;<br>


<br>


Причем, содержимое файла, куда указывает директива ssl_dhparam<br>


будет одинаковым у всех, кто воспользуется этим советом. (!!!)<br>


<br>


И прописывать в директиву ssl_ciphers<br>


в том числе и DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384.<br>


<br>


Не совсем понятен смысл этого действия.<br>


<br>


Начиная с версии 1.11.0 (вышла 24 мая 2016 года) для того чтобы включить <br>


поддержку DHE-шифров - необходимо явно задавать директиву ssl_dhparam.<br>


<br>


Но если посмотреть по результатам <a href="https://www.ssllabs.com/ssltest/" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/</a><br>


включение или выключение ssl_dhparam практически ни на что не влияет.<br>


<br>


Более широкой поддержки со стороны клиентов не появляется,<br>


единственное изменение, которое удалось заметить - это то,<br>


что IE 11 начинает использовать DHE вместо ECDHE. И на этом всё.<br>


<br>


Рекомендация сайта <a href="https://ssl-config.mozilla.org/" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/</a> является разумной?<br>


ssl_dhparam действительно лучше будет в 2020 включать в конфиге nginx?<br>


<br>


Или же создатели сайта <a href="https://ssl-config.mozilla.org/" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/</a> ошибаются,<br>


и ssl_dhparam лучше не включать и DHE-шифры из директивы ssl_ciphers <br>


лучше будет убрать?<br>


<br>


Если создатели сайта <a href="https://ssl-config.mozilla.org/" rel="noreferrer" target="_blank">https://ssl-config.mozilla.org/</a> ошибаются,<br>


то осознать свою ошибку они смогут наверное только после того,<br>


как им об этом напишет кто-то из разработчиков nginx?<br>


<br></blockquote><div><br></div><div>об этом кто угодно может завести баг</div><div><br></div><div><a href="https://github.com/mozilla/ssl-config-generator">https://github.com/mozilla/ssl-config-generator</a></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


-- <br>


Best regards,<br>


  Gena<br>


<br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>