Почему тест по «Key Exchange» и «Cipher Strength» на ssllabs.com проходит на 90?

Question

[nihi1ist]

Получил сертификат Let's Encrypt, хочу добиться 100 пунктов по всем параметрам, но по "Key Exchange" и "Cipher Strength" не прохожу, подскажите почему?

options-ssl-nginx.conf

ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1440m;
ssl_session_tickets off;

ssl_protocols TLSv1.3 TLSv1.2;
ssl_prefer_server_ciphers off;

ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Comments

[Valentin Barbolin]

Прокрутна на мышке не работает?

[nihi1ist]

Andrey Barbolin, работает. Но там тоже не понятно где проблема. Единственное ругается на отсутствие поддержки устаревших версий браузеров и ОС.

[Valentin Barbolin]

nihi1ist, Так где написано WEAK или выделено НЕ зеленым цветом. Там более сотни параметров, ты думаешь по твоему скрину понятно, какой именно тест у тебя не прошел на ssllabs.com?

Answer 1

[Александр Фалалеев]

1.

Для Cipher Strength 100 надо избавляться от "SHA256" в nginx:

вместо строчки ssl_ciphers нужно три такие (свежий nginx разумеется):

ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

2.

Для Key Exchange 100 нужно ИЗНАЧАЛЬНО сертификат выпускать в rsa 4096 bits

P.S.

Только накой это надо ? Соединение будет устанавливаться медленнее, часть клиентов со старыми системами / браузерами потеряете - они просто зайти не смогут !