P

oniższa konfiguracja serwera nginx dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Ponadto zaspokaja wymagania PCI Compliance oraz FIPS, a także broni przed atakami typu: BEAST, Heartbleed czy POODLE. Innymi mechanizmami, które zostały zwarte to: HSTS, OSCP oraz SPDY. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu: IE6, czy Java 6.

server {
  listen 443 ssl spdy;

  ssl on;
  ssl_certificate /etc/nginx/ssl/server.crt;
  ssl_certificate_key /etc/nginx/ssl/server.key;
  ssl_trusted_certificate /etc/nginx/ssl/root.pem;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:\
              ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
  ssl_prefer_server_ciphers on;
  ssl_dhparam /etc/ssl/private/dhparam.pem;
  
  ssl_stapling on;
  resolver 127.0.0.1;
  ssl_stapling_verify on;

  add_header Strict-Transport-Security max-age=31536000;
}

Jeśli używamy serwera Apache lub HAproxy możemy skorzystać z rad H. Schlawack’a lub R. Penz’a.

Więcej informacji: Configuring Apache, Nginx, and OpenSSL for Forward Secrecy, Getting an A+ rating on the Qualys SSL Test