nginx-0.2.0
Igor Sysoev
is at rambler-co.ru
Wed Sep 28 23:14:54 MSD 2005
On Tue, 27 Sep 2005, Sergey Skvortsov wrote:
> Igor Sysoev wrote:
>>
>> SSLProtocol all -SSLv2
>> это по сути
>> SSLCipherSuite ALL:!SSLv2
>
> По конечному эффекту - возможно, но лучше бы выставлять SSL_OP_NO_SSLv2
> через SSL_CTX_set_options() сразу при конфигурации сервера.
>
> SSLProtocol не слишком удачное название. Лучше бы что-то вроде
> "ssl_ctx_options" (что сразу говорит о том, что применяющий эту директиву
> понимает что делает). Хочется иметь возможность поиграться с разными
> опциями, типа SSL_OP_CIPHER_SERVER_PREFERENCE или
> SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION. Вдруг удастся склонить IE к
> желаемому cipher.
SSL_OP_CIPHER_SERVER_PREFERENCE оказалось великой вещью. Теперь при
ssl_prefer_server_ciphers on;
ssl_ciphers AES128-SHA:DES-CBC3-SHA:!EXPORT56:RC4+RSA:+SSLv2:+EXP;
MSIE 5.5, Opera 7.5 и Netscape 4.8 выбирают DES-CBC3-SHA, а Firefox
и Konqueror - AES128-SHA. MSIE 6, скорее всего, выберет тоже DES-CBC3-SHA.
Экспортные MSIE 5.0 (40-bit) и 5.01 (56-bit) выбирают EXP-RC4-MD5.
Таким образом, можно заставить распространённые браузеры использовать
акселерируемые hifn'ом AES128-SHA и DES-CBC3-SHA и, кроме того, сохранить
совместимость с другими браузерами.
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list