Re: Хотел бы сделать такие правила для SSL:
Maxim Dounin
mdounin на mdounin.ru
Ср Мар 28 12:58:03 UTC 2018
Hello!
On Wed, Mar 28, 2018 at 03:38:57AM +0300, Дугин Сергей wrote:
> Хотел бы сделать такие правила для SSL:
>
> ssl_session_cache shared:TLS:10m;
> ssl_session_timeout 10m;
> ssl_stapling on;
> ssl_stapling_verify on;
> resolver 127.0.0.1;
> ssl_prefer_server_ciphers on;
> ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>
> if ($ssl_protocol ~* 'TLSv1.2')
> {
> ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:RC4-MD5:AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA;
> }
> if ($ssl_protocol ~* 'TLSv1.1')
> {
> ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:RC4-MD5:AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA;
> }
> if ($ssl_protocol ~* 'TLSv1')
> {
> ssl_ciphers ECDHE-RSA-AES256-SHA:RC4-MD5:AES128-SHA:DHE-RSA-AES256-SHA:AES256-SHA:DES-CBC3-SHA:RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA;
> }
> if ($ssl_protocol ~* 'SSLv3')
> {
> ssl_ciphers ECDHE-RSA-AES256-SHA:RC4-MD5:AES256-SHA:AES128-SHA:RC4-SHA;
> }
>
> Основная мысль на свой протокол выдавать свой список шифров, но
> ssl_ciphers нельзя использовать в if условии получаю такую ошибку:
>
> nginx: [emerg] "ssl_ciphers" directive is not allowed here in /etc/nginx/nginx.conf:77
>
> Подскажите как можно сделать свой порядок шифров на свой протокол?
Никак.
--
Maxim Dounin
http://mdounin.ru/
Подробная информация о списке рассылки nginx-ru