SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Nginx и ssl: получаем четыре сотни и а+ на ssllabs.com

BOBAH BOBAH  
24
  04.07.2019 15:45       1 797    

Цель -- А+ на SSLLabs, а в идеале вообще все четыре результата по сто баллов. Оценка выводится на основе четырех шкал:

  1. Certificate
  2. Protocol Support
  3. Key Exchange
  4. Cipher Strength

Первый пункт, насколько мне известно, просто предполагает наличие подлинного сертификата от известного CA.

Для второго пункта достаточно отключить все протоколы, кроме TLSv1.2. Другими словами пишем это:

ssl_protocols TLSv1.2;

Для выполнения третьего пункта достаточно получить 4096-битный сертификат. Например сертификат от Let's Encrypt выглядит так:

sudo letsencrypt certonly --standalone --email savely@krasovsky.me -d domain.xyz --rsa-key-size 4096

С четвертым пунктом интереснее. Я очень долго пытался найти шифры, с котороми бы удалось набрать 100 баллов. И нашел:

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!AES128';

SSLLabs предполагает, что мы должный отказаться от AES128, чтобы получить максимальный балл. Помимо этого, нужно также создать на сервере 4096-битный DH-ключ. Для ускорения процесса получения, можно использовать такую команду:

sudo openssl dhparam -dsaparam -out /etc/letsencrypt/live/domain.xyz/dhparam.pem 4096

Добиться 400 баллов очень просто, но стоит ли оно того?

Вопрос собственно в следующем:

каков правильный конфиг в 2019 году и каковы возможные потери (если они ещё есть), если исключить шифры AES128 и протоколы TLSv1.0 и TLSv1.


Ответы на пост (4) Написать ответ
seomasterskaya seomasterskaya
1
05.07.2019 18:30
Можно встречный вопрос? А нафига это все вам нужно? Ну будет у вас А+, ну вы почувствуете удовлетворенность своей работой над этой образной "пузомеркой". Но для чего она вообще?

Что этот А+ дает?
0
c00x c00x
125
05.07.2019 19:31
Например, чтобы получить сертификат PCI DSS.
0
seomasterskaya seomasterskaya
1
05.07.2019 19:57
Если в этом сервисе не будет оценка А+ то сертификат PCI DSS компании не выдадут? Очень сомневаюсь

0
c00x c00x
125
06.07.2019 06:33
Не дадут. И дело тут не в оценке конкретного сервиса, а в тех мероприятиях, которые нужно провести, чтобы получить эту оценку. Оценка ssllabs коррелирует с требованиями PCI, да и это неплохой аргумент в случае спора с аудитором.

В марте проходил PCI compliance, так что мне всё это знакомо. ;-)
0