Hello! On Wed, Nov 28, 2018 at 11:31:31PM +0300, Sergey Komarov wrote:
> Здравствуйте, > Простите за, возможно, глупый вопрос. > Правильно ли я понимаю, что для выключения ДХ в nginx необходимо только > выключить ssl_dhparams? > Или же, нужно в ssl_ciphers выпилить все ECDHE и DHE? ECDHE выпиливать вообще не нужно, ECDHE - это Elliptic Curve Diffie-Hellman и работает быстро. Для выпиливания классического Диффи-Хеллмана - да, достаточно убрать из конфига директиву ssl_dhparam. До версии nginx 1.11.0 в случае отсутствия в конфиге ssl_dhparam использовались стандартные вкомпилированные в nginx параметры на 1024 бита. В nginx 1.11.0 мы эти стандартные параметры убрали - потому что стандартные параметры могут быть проблемой, см. weakdh.org, и потому что увеличивать битность - это в случае классического DH очень медленно. Так что теперь DHE-шифры используются только если в конфиге явно задать ssl_dhparam. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
