ssl_prefer_server_ciphers
Gena Makhomed
gmm at csdoc.com
Mon Sep 9 09:26:47 UTC 2013
Здравствуйте!
директива ssl_prefer_server_ciphers иимеет значение по-умолчанию off.
возможно имеет смысл изменить дефолтовое значение этой директивы в on?
потому что при ssl_prefer_server_ciphers off;
nginx подвержен влиянию BEAST-атаки CVE-2011-3389.
подробности: http://habrahabr.ru/post/173125/
https://www.ssllabs.com/ssltest/ и https://www.ssllabs.com/
при текущем значении по-умолчанию ssl_prefer_server_ciphers
- nginx даже не соответствует требованиям стандарта PCI DSS.
я понимаю, что nginx - это не совсем OpenBSD, но он часть OpenBSD,
и поэтому лучше подход http://www.openbsd.org/security.html#default
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru