Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl_prefer_server_ciphers

To: nginx-ru@xxxxxxxxx
Subject: Re: ssl_prefer_server_ciphers
From: Anton Yuzhaninov <citrin@xxxxxxxxx>
Date: Mon, 09 Sep 2013 14:06:12 +0400
In-reply-to: <522D9457.9080008@csdoc.com>
References: <522D9457.9080008@csdoc.com>

On 09/09/13 13:26, Gena Makhomed wrote:


потому что при ssl_prefer_server_ciphers off;
nginx подвержен влиянию BEAST-атаки CVE-2011-3389.

Без очень тщательного выбора того что и каком порядке указывать в ssl_ciphersэто делать смысла мало.


А что писать в ssl_ciphers вопрос не очень простой.

На первом месте логично поставить AES-GCM, но он пока не поддерживаетсябольшинством браузеров. Да и на сервере для его нужен openssl 1.0.1 а во многихдистрибутивах используются более старые версии.


Из того, что поддерживается широко:

AES-CBC - подвержен BEAST

RC4 в теории тоже уязвим: http://www.isg.rhul.ac.uk/tls/ (хотя сильно опасатьсяэтого пока не стоит).

И еще возможно бывают клиенты со старыми браузерами, которые не поддерживают ниAES и RC4 (таких наверно мало).


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: ssl_prefer_server_ciphers
  - From: Gena Makhomed

References:
- ssl_prefer_server_ciphers
  - From: Gena Makhomed

Prev by Date: Re: Nginx + Websockets
Next by Date: Re: ssl_prefer_server_ciphers
Previous by thread: ssl_prefer_server_ciphers
Next by thread: Re: ssl_prefer_server_ciphers
Index(es):
- Date
- Thread