Re: Что еще можно добавить или исправить с точки зрения настройки SSL

Пн Дек 19 13:16:00 UTC 2016

Hello!

On Mon, Dec 19, 2016 at 05:37:11AM -0500, vitcool wrote:

> начинаю разбираться с настрйоками HTTPS под nginx, подскажите пожалуйста,
> что тут можно поправить?
> PS: данная конфигурация работает, но вдруг я что то упустил
> 
> server {
> 	listen		443 ssl;
> 	server_name	cdn.vianor-tyres.ru;
> 
> 	ssl_certificate			/etc/nginx/ssl/domain.crt;
> 	ssl_certificate_key		/etc/nginx/ssl/domain.key;
> 	ssl_session_cache		shared:SSL:10m;
> 	ssl_session_timeout		5m;
> 	ssl_prefer_server_ciphers	on;
> #	ssl_stapling			on;  - в сертификате не задано орг нейм, nginx ругается
> если включить эту опцию
> 	ssl_protocols			SSLv3 TLSv1 TLSv1.1 TLSv1.2;
> 	ssl_ciphers			"RC4:HIGH:!aNULL:!MD5:!kEDH";
> 	add_header			Strict-Transport-Security 'max-age=604800';

Есть мнение, что RC4 и SSLv3 в современном мире лучше не надо.  Ну 
и ssl_prefer_server_ciphers лучше не включать, если вы не уверены 
на 100% в том, что написали в ssl_ciphers.

Таймаут для ssl-сессий можно существенно больше, чем 5m.  Если 
ставить 5m - то и не надо ничего писать, это default.

Вообще я бы рекомендовал использовать настройки по умолчанию 
везде, где нет явных причин делать по другому.  Читай: настроить 
ssl_session_cache и добавить заголовков по потребности, остальное 
без нужды не трогать.

-- 
Maxim Dounin
http://nginx.org/