nginx-0.2.0

Igor Sysoev is at rambler-co.ru
Wed Sep 28 23:14:54 MSD 2005


On Tue, 27 Sep 2005, Sergey Skvortsov wrote:

> Igor Sysoev wrote:
>>
>> SSLProtocol all -SSLv2
>> это по сути
>> SSLCipherSuite  ALL:!SSLv2
>
> По конечному эффекту - возможно, но лучше бы выставлять SSL_OP_NO_SSLv2
> через SSL_CTX_set_options() сразу при конфигурации сервера.
>
> SSLProtocol не слишком удачное название. Лучше бы что-то вроде
> "ssl_ctx_options" (что сразу говорит о том, что применяющий эту директиву
> понимает что делает). Хочется иметь возможность поиграться с разными
> опциями, типа SSL_OP_CIPHER_SERVER_PREFERENCE или
> SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION. Вдруг удастся склонить IE к
> желаемому cipher.

SSL_OP_CIPHER_SERVER_PREFERENCE оказалось великой вещью. Теперь при

ssl_prefer_server_ciphers  on;
ssl_ciphers   AES128-SHA:DES-CBC3-SHA:!EXPORT56:RC4+RSA:+SSLv2:+EXP;

MSIE 5.5, Opera 7.5 и Netscape 4.8 выбирают DES-CBC3-SHA, а Firefox
и Konqueror - AES128-SHA. MSIE 6, скорее всего, выберет тоже DES-CBC3-SHA.

Экспортные MSIE 5.0 (40-bit) и 5.01 (56-bit) выбирают EXP-RC4-MD5.

Таким образом, можно заставить распространённые браузеры использовать
акселерируемые hifn'ом AES128-SHA и DES-CBC3-SHA и, кроме того, сохранить
совместимость с другими браузерами.


Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list