SSL lags

Чт Ноя 29 14:18:44 UTC 2018

Hello!

On Wed, Nov 28, 2018 at 11:31:31PM +0300, Sergey Komarov wrote:

> Здравствуйте,
> Простите за, возможно, глупый вопрос.
> Правильно ли я понимаю, что для выключения ДХ в nginx необходимо только 
> выключить ssl_dhparams?
> Или же, нужно в ssl_ciphers выпилить все ECDHE и DHE?

ECDHE выпиливать вообще не нужно, ECDHE - это Elliptic Curve 
Diffie-Hellman и работает быстро.

Для выпиливания классического Диффи-Хеллмана - да, достаточно 
убрать из конфига директиву ssl_dhparam.  До версии nginx 1.11.0 в 
случае отсутствия в конфиге ssl_dhparam использовались стандартные 
вкомпилированные в nginx параметры на 1024 бита.  В nginx 1.11.0 
мы эти стандартные параметры убрали - потому что стандартные 
параметры могут быть проблемой, см. weakdh.org, и потому что 
увеличивать битность - это в случае классического DH очень 
медленно.  Так что теперь DHE-шифры используются только если в 
конфиге явно задать ssl_dhparam.

-- 
Maxim Dounin
http://mdounin.ru/