Задать вопрос
@nihi1ist

Почему тест по «Key Exchange» и «Cipher Strength» на ssllabs.com проходит на 90?

Получил сертификат Let's Encrypt, хочу добиться 100 пунктов по всем параметрам, но по "Key Exchange" и "Cipher Strength" не прохожу, подскажите почему?
options-ssl-nginx.conf
ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1440m;
ssl_session_tickets off;

ssl_protocols TLSv1.3 TLSv1.2;
ssl_prefer_server_ciphers off;

ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;


61f7ad6be820e181895498.png
  • Вопрос задан
  • 86 просмотров
Подписаться 1 Простой 3 комментария
Решения вопроса 1
suffix_ixbt
@suffix_ixbt
https://www.babai.ru/
1.

Для Cipher Strength 100 надо избавляться от "SHA256" в nginx:

вместо строчки ssl_ciphers нужно три такие (свежий nginx разумеется):

ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';


2.

Для Key Exchange 100 нужно ИЗНАЧАЛЬНО сертификат выпускать в rsa 4096 bits

P.S.

Только накой это надо ? Соединение будет устанавливаться медленнее, часть клиентов со старыми системами / браузерами потеряете - они просто зайти не смогут !
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы