Как усилить SSL
Оцените эту статью

В данной статье рассмотрим, как улучшить безопасность SSL сертификата, используя для этого настройку nginx. Для настройки https на сервере, необходимо включить SSL в конфигурационном файле nginx в разделе server.

Пример подключения сертификата в конфигурационном файле

Сертификат на сервере для определенного сайта – является публичным, он загружается пользователю, который обращается к серверу. Так же имеется секретный ключ, хранящийся на сервере, к нему рекомуендуется ограничить доступ только чтение. Есть возможность хранить ключ и сертификат в одном файле, при этом клиент получит только сертификат.

Существуют директивы, которые позволяют ввести ограничения на версии шифров SSL/TLS. Из примера выше в конфигурации nginx по умолчанию \испольуется протоколы  TLSv1 TLSv1.1 TLSv1.2 и алгоритмы шифрования  HIGH:!aNULL:!MD5

Улучшаем безопасность

Что бы исключить слабые шифры применим следующие параметры

Далее необходимо закрыть уязвимость DH This server supports weak Diffie-Hellman (DH) key exchange parameter.

Необходимо сгенерировать ключ

В результате генерации получится файл, который подключим в конфигурацию nginx

Оптимизируем работу

SSL использует ресурсы сервера, сессии SSL сохраняются в своем кэше, разделенном по рабочим процессам. 1 мегабайт содержит порядка 4тыс сессий. 5 минут – по умолчанию значение таймаута для кэша. Эти параметры можно менять и регулировать.

Подключение и настройка SSL сертификата, обращайтесь [email protected]