пт, 10 янв. 2020 г. в 10:21, Gena Makhomed <g...@csdoc.com>: > On 10.01.2020 6:37, Илья Шипицин wrote: > > > об этом кто угодно может завести баг > > https://github.com/mozilla/ssl-config-generator > > В исходном моем сообщении как раз и содержится вопрос - баг это или нет. >
в общем-то вы сами и ответили на свой вопрос. включение или не включение dh_param это ваше желание или нежелание использовать DHE-сьюты. они являются менее криптостойкими чем ECDHE, которые практически повсеместно распространены (что вы и видите по ssl labs). если у вас есть какие-то клиенты, которые не умеют ECDHE, для них DHE может быть хорошим выбором. но это будет стоить вам небольшим понижением рейтинга на ssl labs (с A+ до A). > > Кроме того, в одном из тикетов > https://github.com/mozilla/ssl-config-generator/issues/69 > они прямо признаются что плохо себе представляют как работает > nginx внутри и что им бы очень не помешала квалифицированная > помощь от разработчиков nginx. > > Завести issue - не проблема. Проблема в том, чтобы понять, > почему это поведение - баг, и в том, чтобы доходчиво объяснить > это создателям сайта https://ssl-config.mozilla.org/ в этом плане ssl labs в помощь. он дает просто отличную картину по эмуляции клиентских хендшейков. > > > -- > Best regards, > Gena > > _______________________________________________ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru