SSL Configuration Generator https://ssl-config.mozilla.org/

[Илья Шипицин]

пт, 10 янв. 2020 г. в 10:21, Gena Makhomed <gmm на csdoc.com>:

> On 10.01.2020 6:37, Илья Шипицин wrote:
>
> > об этом кто угодно может завести баг
> > https://github.com/mozilla/ssl-config-generator
>
> В исходном моем сообщении как раз и содержится вопрос - баг это или нет.
>

в общем-то вы сами и ответили на свой вопрос. включение или не включение
dh_param это ваше желание или нежелание
использовать DHE-сьюты. они являются менее криптостойкими чем ECDHE,
которые практически повсеместно распространены (что
вы и видите по ssl labs).

если у вас есть какие-то клиенты, которые не умеют ECDHE, для них DHE может
быть хорошим выбором. но это будет стоить вам небольшим понижением рейтинга
на ssl labs (с A+ до A).


>
> Кроме того, в одном из тикетов
> https://github.com/mozilla/ssl-config-generator/issues/69
> они прямо признаются что плохо себе представляют как работает
> nginx внутри и что им бы очень не помешала квалифицированная
> помощь от разработчиков nginx.
>
> Завести issue - не проблема. Проблема в том, чтобы понять,
> почему это поведение - баг, и в том, чтобы доходчиво объяснить
> это создателям сайта https://ssl-config.mozilla.org/



в этом плане ssl labs в помощь. он дает просто отличную картину по эмуляции
клиентских хендшейков.


>
>
> --
> Best regards,
>   Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20200110/65645cdf/attachment-0001.htm>