Почему тест по «Key Exchange» и «Cipher Strength» на ssllabs.com проходит на 90?

Question

nihi1ist @nihi1ist

Почему тест по «Key Exchange» и «Cipher Strength» на ssllabs.com проходит на 90?

Получил сертификат Let's Encrypt, хочу добиться 100 пунктов по всем параметрам, но по "Key Exchange" и "Cipher Strength" не прохожу, подскажите почему?

options-ssl-nginx.conf

ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1440m;
ssl_session_tickets off;

ssl_protocols TLSv1.3 TLSv1.2;
ssl_prefer_server_ciphers off;

ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Вопрос задан более двух лет назад
86 просмотров

3 комментария

Подписаться 1 Простой 3 комментария

Решения вопроса 1

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Цифровые сертификаты

Простой
Что не так с запросом сертификата Let's encrypt?
- 1 подписчик
- вчера
- 129 просмотров
1

ответ
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- вчера
- 93 просмотра
4

ответа
Системное администрирование

+1 ещё

Простой
Кто блокирует сертификат и что делать?
- 2 подписчика
- 20 нояб.
- 996 просмотров
4

ответа
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 160 просмотров
0

ответов
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 305 просмотров
2

ответа
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 193 просмотра
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 186 просмотров
2

ответа
Nginx

Простой
Настройка nginx для нескольких статич сайтов (прилоджений реакт)?
- 1 подписчик
- 14 нояб.
- 94 просмотра
1

ответ
Nginx

+1 ещё

Простой
Почему при наличии системной переменной Debian 12.8 в «/usr/sbin/nginx» — при вводе команды «# nginx -v» ошибка «команда не найдена»?
- 2 подписчика
- 14 нояб.
- 135 просмотров
1

ответ
Nginx

Простой
Как правильно настроить конфиг Nginx?
- 1 подписчик
- 12 нояб.
- 212 просмотров
1

ответ
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Нужен верстальщик. Переверстать, доверстать, доработать интерфейс

22 нояб. 2024, в 16:13

7000 руб./за проект

Доработка и исправление ошибок в работе Личного кабинета сайта

22 нояб. 2024, в 15:59

35000 руб./за проект

Рефакторинг vue.js/nest.js интерфейса у админки

22 нояб. 2024, в 15:50

150000 руб./за проект

Andrey Barbolin, работает. Но там тоже не понятно где проблема. Единственное ругается на отсутствие поддержки устаревших версий браузеров и ОС.
nihi1ist, Так где написано WEAK или выделено НЕ зеленым цветом. Там более сотни параметров, ты думаешь по твоему скрину понятно, какой именно тест у тебя не прошел на ssllabs.com?

Answer 1 · 2022-01-31 18:35:02

1.

Для Cipher Strength 100 надо избавляться от "SHA256" в nginx:

вместо строчки ssl_ciphers нужно три такие (свежий nginx разумеется):

ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

2.

Для Key Exchange 100 нужно ИЗНАЧАЛЬНО сертификат выпускать в rsa 4096 bits

P.S.

Только накой это надо ? Соединение будет устанавливаться медленнее, часть клиентов со старыми системами / браузерами потеряете - они просто зайти не смогут !

Почему тест по «Key Exchange» и «Cipher Strength» на ssllabs.com проходит на 90?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт