SSL安全性与nginx配置

服务器SSL/TLS的配置不仅包括证书和私钥,还需要配置合适的SSL参数以保证安全性:

1. 禁用SSLV1,SSLV2等不安全的协议
2. 使用适当的ciphers:能够抵御beast attack (针对SSL 3.0和TLS 1.0)和其它攻击,并且提供perfect forward secrecy (PFS).

下面的nginx配置能够在Qualys’s SSL Server Test中得到A Grade。而nginx默认的ssl配置只能得到B(不能防止beast attack)。

ssl_prefer_server_ciphers On;
ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

nginx官方文档里推荐的ciphers设置:

ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

但此ciphers在Internet Explorer和Safari下可能不能提供足够的安全性。

另外,对于客户端来说,推荐使用Firefox或Chrome浏览器。Internet Explorer和Safari由于优先使用的ciphers较弱,访问绝大多数SSL网站时都无法保证PFS。

0 Responses to “SSL安全性与nginx配置”


Comments are currently closed.