SSL Configuration Generator https://ssl-config.mozilla.org/

Пт Янв 10 11:52:53 UTC 2020

On 10.01.2020 8:41, Илья Шипицин wrote:

>>> об этом кто угодно может завести баг
>>> https://github.com/mozilla/ssl-config-generator
>> В исходном моем сообщении как раз и содержится вопрос - баг это или нет.
> в общем-то вы сами и ответили на свой вопрос.

Я не уверен в том, что вижу и понимаю все нюансы.

Поэтому мне очень хотелось бы, если это возможно, чтобы Maxim Dounin 
ответил на мои вопросы. По сути они были и есть адресованы
в первую очередь именно ему.

SSL Configuration Generator https://ssl-config.mozilla.org/
- это наверное самый точный и самый популярный сайт, который
публикует рекомендации по настройке SSL/TLS в nginx,
поэтому было бы очень хорошо привести его рекомендации
в соответствие с действительностью и сделать их максимально полезными.

> в этом плане ssl labs в помощь. он дает просто отличную картину по эмуляции
> клиентских хендшейков.

Он не идеален и может ошибаться, в некоторых редких случаях.
Тем более, что Ivan Ristić там уже не работает.

Уж простите за невольную рекламу (придется дать ссылку на отчет,
чтобы было понятно о чем я говорю), вчера/сегодня буквально
менял сертификаты на сайте и ssltest выдал мне такое предупреждение:

https://www.ssllabs.com/ssltest/analyze.html?d=www.ideil.com

Chain issues	Contains anchor

Подробное обсуждение этого предупреждения есть на странице
https://discussions.qualys.com/thread/11234

Где Ivan Ristić рекомендует спросить у поддержки Namecheap.com
зачем они рекмендуют включать CA сертификат USERTrust в bundle.

Поддержка Namecheap.com объяснила, что вроде бы надо и таким образом
для некоторых очень страых клиентов сайт будет нормально открываться
а если сертификат USERTrust в bundle не включать то сайт не откроется.

Хотя, может быть действительно нет смысла всем клиентам слать еще и
сертификат USERTrust и достаточно будет только сертификата Sectigo?

Чтобы довести до идеального состояния настройку SSL/TLS
на этом сайте - необходимо будет перейти на CentOS 8,
тогда появится поддержка TLS 1.3 и ChaCha20-Poly1305.

Все остальное - вроде бы уже сделано наиболее оптимальным способом?

Фрагмент конфига:

     ssl_protocols TLSv1.3 TLSv1.2;
     ssl_prefer_server_ciphers off;
     ssl_ciphers 
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;

     ssl_session_cache shared:SSL:10M;
     ssl_session_timeout 120m;

     ssl_stapling on;
     ssl_stapling_verify on;
     resolver 127.0.0.1;

     ssl_certificate 
/etc/tls/STAR.ideil.com/STAR.ideil.com.ecdsa.crt;
     ssl_certificate_key 
/etc/tls/STAR.ideil.com/STAR.ideil.com.ecdsa.key;

     ssl_certificate         /etc/tls/STAR.ideil.com/STAR.ideil.com.rsa.crt;
     ssl_certificate_key     /etc/tls/STAR.ideil.com/STAR.ideil.com.rsa.key;

-- 
Best regards,
  Gena