ssl_prefer_server_ciphers

Maxim Dounin mdounin at mdounin.ru
Wed Sep 11 16:54:54 UTC 2013


Hello!

On Tue, Sep 10, 2013 at 10:18:50AM +0100, Anatoly Mikhailov wrote:

[...]

> Максим, насколько такая конфигурация сейчас актуальна и надежна?
> 
>     ssl_session_timeout       15m;
>     ssl_protocols             SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>     ssl_ciphers               RC4:HIGH:!aNULL:!MD5;
>     ssl_prefer_server_ciphers on;
>     ssl_session_cache         shared:SSL:10m;
> 
> Данная конфигурация набирает 100/90/80/90 (Rating A) на Qualys SSL Labs.

Насколько я понимаю, практических атак на RC4 пока нет, так что 
это вполне нормальный конфиг.  В перспективе - из него, видимо, 
следует убирать RC4.  (Отдельно отмечу, что вышеизложенное - про 
безопасность.  Если параллельно думать ещё и про 
производительность, то всё становится куда интереснее.)

> И второй вопрос, в плане _безопасности_ стоит обновляться 
> с Nginx 1.3.14 до последней стабильной версии?

Как минимум пропатчить - необходимо.  См. 
http://nginx.org/en/security_advisories.html.

-- 
Maxim Dounin
http://nginx.org/en/donation.html



Подробная информация о списке рассылки nginx-ru