Comments 26
Про spdy:
Этот модуль был заменён модулем ngx_http_v2_module в версии 1.9.5.
Никогда не оставляйте файлы без пользователей группыПоясните, пожалуйста, эту фразу.
А как же http2, а как же chacha20-poly1305…
При использовании spdy год назад периодически отваливались соединения, с http2 сейчас все надежнее, только не забудьте собрать nginx c openssl1.0.2+ иначе хром не будет использовать прелести http2.
Конечно это только моё мнение, оно может быть ошибочным, но лучше писать что-то типа:
ssl_ciphers ALL:!aNULL:!eNULL:!RC4:!EXPORT:!DES:!PSK:!LOW;
вместо длинной портянки.
ssl_ciphers ALL:!aNULL:!eNULL:!RC4:!EXPORT:!DES:!PSK:!LOW;
вместо длинной портянки.
Следующее, на что нужно обратить внимание, — это механизм HSTS. Чтобы установить заголовок Strict Transport Security, нам необходимо перекомпилировать NGINX вместе с модулем HTTP header.
"Мы" до этого целенаправленно компилировали с отключением ngx_http_headers_module? Я даже не знаю, это вообще законно?
Что именно незаконно?
Отдавать HSTS заголовок клиенту?
Или перекомпилировать nginx?
Отдавать HSTS заголовок клиенту?
Или перекомпилировать nginx?
SSL-сертификат — это криптографический протокол — это пррелестно.
странная статья — сначала рассказываем как получить оценку A+, а в конце — почему она не нужна и вредна ;)
Куча ошибок в статье, не рекомендую бездумно копипастить конфиги и команды из нее…
Сгодится только как научно-популярная обзорка…
Позволю себе повторить и дополнить уже вышеоткоментированное:
— SPDY все, HTTP/2 наше все
— Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
— есть еще WoSign как раздатчик бесплатных сертификатов — со своими нюансами конечно
— текст про старый набор шифров, иллюстрация про DH 1024
— SPDY не для ускорения SSL
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
странная статья — сначала рассказываем как получить оценку A+, а в конце — почему она не нужна и вредна ;)
Куча ошибок в статье, не рекомендую бездумно копипастить конфиги и команды из нее…
Сгодится только как научно-популярная обзорка…
Позволю себе повторить и дополнить уже вышеоткоментированное:
— SPDY все, HTTP/2 наше все
— Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
— есть еще WoSign как раздатчик бесплатных сертификатов — со своими нюансами конечно
— текст про старый набор шифров, иллюстрация про DH 1024
— SPDY не для ускорения SSL
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
Ставить OpenSSL 1.0.2 на хост необязательно (в случае с CentOS это еще и почти невозможно) — достаточно собрать nginx с ним
А как это сделать, поделитесь пожалуйста.
Качаем исходники openssl https://www.openssl.org/source/openssl-1.0.2h.tar.gz
при сборке nginx указываем, что надо собирать с конкретной версией:
configure --with-openssl=/root/openssl-1.0.2h
У nginx есть src.rpm родные. https://nginx.org/packages/mainline/centos/6/SRPMS/
можно их использовать для сборки
при сборке nginx указываем, что надо собирать с конкретной версией:
configure --with-openssl=/root/openssl-1.0.2h
У nginx есть src.rpm родные. https://nginx.org/packages/mainline/centos/6/SRPMS/
можно их использовать для сборки
Да что уж мелочиться, качать так openssl-1.1.0.
Обновление сертификата Let's Encrypt спокойно решается cron'ом.
Верно.
Кроме того, оценку A+ можно получить и с настройками intermediate от Mozilla SSL Configuration Center безо всяких HTTP/2.
Только «Битрикс», ввиду своих компетенций, об этом не знает.
Кроме того, оценку A+ можно получить и с настройками intermediate от Mozilla SSL Configuration Center безо всяких HTTP/2.
Только «Битрикс», ввиду своих компетенций, об этом не знает.
И по поводу WoSign — бойтесь китайцев дары приносящих :-)
— Нажимать кнопку в PLESK раз в 90 дней для продления LetsEncrypt — это правильный буховский подход
Plesk сам умеет автоматически продлевать сертификаты LetsEncrypt. К сожалению, автор упустил этот момент.
«Битрикс» открыл для себя Qualys SSL labs test и Mozilla SSL Configuration Center.
Что ж, лучше поздно, чем никогда.
Что ж, лучше поздно, чем никогда.
Обычно ставят 8888. Это Гугловский public DNS, но если у вас есть свой DNS на сервере, то я бы рекомендовал поставить localhost.
Это здорово, рассказывать в статье про A+ и при этом упоминать настройку, которая может привести к спуфингу. Рекомендации тут мало.
Sign up to leave a comment.
Как достичь рейтинга А+ для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга