SSL Configuration Generator https://ssl-config.mozilla.org/

Пт Янв 10 02:07:17 UTC 2020

Здравствуйте, All!

SSL Configuration Generator https://ssl-config.mozilla.org/

Предлагает для конфигурации Intermediate (General-purpose servers with a 
variety of clients, recommended for almost all systems)
в конфиге nginx включать ssl_dhparam:

# curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam.pem
ssl_dhparam /path/to/dhparam.pem;

Причем, содержимое файла, куда указывает директива ssl_dhparam
будет одинаковым у всех, кто воспользуется этим советом. (!!!)

И прописывать в директиву ssl_ciphers
в том числе и DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384.

Не совсем понятен смысл этого действия.

Начиная с версии 1.11.0 (вышла 24 мая 2016 года) для того чтобы включить 
поддержку DHE-шифров - необходимо явно задавать директиву ssl_dhparam.

Но если посмотреть по результатам https://www.ssllabs.com/ssltest/
включение или выключение ssl_dhparam практически ни на что не влияет.

Более широкой поддержки со стороны клиентов не появляется,
единственное изменение, которое удалось заметить - это то,
что IE 11 начинает использовать DHE вместо ECDHE. И на этом всё.

Рекомендация сайта https://ssl-config.mozilla.org/ является разумной?
ssl_dhparam действительно лучше будет в 2020 включать в конфиге nginx?

Или же создатели сайта https://ssl-config.mozilla.org/ ошибаются,
и ssl_dhparam лучше не включать и DHE-шифры из директивы ssl_ciphers 
лучше будет убрать?

Если создатели сайта https://ssl-config.mozilla.org/ ошибаются,
то осознать свою ошибку они смогут наверное только после того,
как им об этом напишет кто-то из разработчиков nginx?

-- 
Best regards,
  Gena