ssl_prefer_server_ciphers

[Gena Makhomed]

On 11.09.2013 20:30, Anatoly Mikhailov wrote:

>>> насколько такая конфигурация сейчас актуальна и надежна?
>>>
>>>     ssl_session_timeout       15m;
>>>     ssl_protocols             SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>>>     ssl_ciphers               RC4:HIGH:!aNULL:!MD5;
>>>     ssl_prefer_server_ciphers on;
>>>     ssl_session_cache         shared:SSL:10m;
>>>
>>> Данная конфигурация набирает 100/90/80/90 (Rating A) на Qualys SSL Labs.

1) легко можно поднять до 100/90/90/90, прописав в ssl_dhparam 2048 бит.

$ openssl dhparam -out dh2048.pem 2048

Read The Full Manual: 
http://blog.ivanristic.com/2013/08/increasing-dhe-strength-on-apache.html

2) добавить немного скорости работы с сайтом можно включив ssl_stapling.

3) желательно использовать latest stable версию OpenSSL, для TLS 1.1/1.2

-- 
Best regards,
  Gena