SSL lags

Sergey Kandaurov pluknet на nginx.com
Чт Ноя 29 15:03:32 UTC 2018



> On 29 Nov 2018, at 17:33, Maxim Dounin <mdounin на mdounin.ru> wrote:
> 
> Hello!
> 
> On Thu, Nov 29, 2018 at 12:47:48AM +0300, Sergey Kandaurov wrote:
> 
>>> On 28 Nov 2018, at 23:31, Sergey Komarov <skom на skom.ru> wrote:
>>> 
>>> Здравствуйте,
>>> Простите за, возможно, глупый вопрос.
>>> Правильно ли я понимаю, что для выключения ДХ в nginx необходимо только выключить ssl_dhparams?
>> 
>> Не совсем так, см. http://nginx.org/r/ssl_dhparam
>> 
>> Более полный ответ здесь:
>> https://www.mail-archive.com/openssl-users@openssl.org/msg71878.html
>> https://tools.ietf.org/html/rfc5246#section-7.4.3
> 
> Серёж, вот лично я - не понял, что ты хотел сказать этими 
> ссылками, и в чём именно заключается "не совсем так".  Поясни?  
> Или ты про то, что DH может работать без явного задания 
> ssl_dhparam в случае использования DH-сертификатов aka fixed-DH?
> 

Да, про fixed-DH (при котором параметры отсылаются в сертификате).
Первая ссылка про уточнение, что директива относится к DHE-шифрам.
В остальных бекграунд вопроса: какие бывают DH и зачем это нужно.

К слову, параметры с большой битностью не всегда хорошо.
E.g., Java до некоторых пор не умела параметры больше 1024:
https://bugs.java.com/bugdatabase/view_bug.do?bug_id=8137303

-- 
Sergey Kandaurov



Подробная информация о списке рассылки nginx-ru