Devo definir os parâmetros do helie do diff para nginx ssl

5

Eu configurei o nginx com o ssl. Tudo funciona perfeitamente, com ferramentas on-line que dão ao domínio uma boa pontuação.

Agora estou me perguntando sobre uma opção de configuração específica do nginx; ssl_dhparam . Devo gerar e definir esses parâmetros? Tem alguma influência na segurança ou na carga computacional do SSL?

    
por Peter Smit 02.01.2012 / 08:23

2 respostas

3

Should I generate and set these parameters?

Sim.

Does it have any influence on [the] security...of ssl?

Sim, ao ativar o Perfect Forward Secrecy . Um apropriado ciphersuite também deve ser configurado.

Se um futuro invasor comprometer seu TLS, com PFS , o tráfego passado que ele interceptou e reteve ainda não pode ser descriptografado.

Gere um DHE principal não menor do que sua chave privada RSA do certificado SSL. Dada uma chave privada de 2048 bits:

$ openssl dhparam -out dhparam.pem 2048
Generating DH parameters, 2048 bit long safe prime, generator 2
..+..+...............+

Does it have any influence on [the]...computational load of ssl?

Muito pouco para se preocupar.

O Google I / O 2014 teve uma boa conversa em HTTPS Everwhere que abordou esses e outros tópicos relacionados de maneira ampla .

    
por 17.08.2014 / 00:33
2

O Diffie Helman é um bom algoritmo para troca de chaves, mas leva muito tempo para o cálculo atrasar seu site. Eu recomendo usar RC4-SHA , que é mais fraco que DH, mas atenda ao seu propósito. Se isso ajudar, o google.com.br usa RC4-SHA . Você pode verificar o algoritmo de qualquer site usando o seguinte:

openssl s_client -host HOSTNAME -port 443

Sugiro que você verifique o tipo de troca de chaves e criptografia que outros sites semelhantes ao seu estão usando e use um algoritmo adequado.
Leia também este artigo sobre o mesmo assunto.

    
por 02.01.2012 / 08:45

Tags