Geekly articles weekly

HTTPS рд╣рдореЗрд╢рд╛ рдХреА рддрд░рд╣ рд╕реБрд░рдХреНрд╖рд┐рдд рдирд╣реАрдВ рд╣реИ рдЬреИрд╕рд╛ рд▓рдЧрддрд╛ рд╣реИред HTTPS рд╕рд╛рдЗрдЯреЛрдВ рдХреЗ 5.5% рдореЗрдВ рдХрдордЬреЛрд░рд┐рдпрд╛рдБ рдкрд╛рдИ рдЧрдИрдВ


рд╢реАрд░реНрд╖ рд╕рд╛рдЗрдЯреЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ рдПрд▓реЗрдХреНрд╕рд╛ (рдХреЗрдВрджреНрд░реАрдп рд╕рд░реНрдХрд▓), HTTPS рджреНрд╡рд╛рд░рд╛ рд╕рдВрд░рдХреНрд╖рд┐рдд, рд╕рдмрдбреЛрдореЗрдирд╕ (рдЧреНрд░реЗ) рдФрд░ рдирд┐рд░реНрднрд░рддрд╛ (рд╕рдлреЗрдж) рдХреЗ рд╕рд╛рде, рдЬрд┐рд╕рдХреЗ рдмреАрдЪ рдХрдордЬреЛрд░ (рдзрд░рд╛рд╢рд╛рдпреА рднрд░рдг) рд╣реИрдВ

рдЖрдЬрдХрд▓, HTTPS рд╕реБрд░рдХреНрд╖рд┐рдд рдХрдиреЗрдХреНрд╢рди рдЖрдЗрдХрди рдХрд┐рд╕реА рднреА рдЧрдВрднреАрд░ рд╕рд╛рдЗрдЯ рдХрд╛ рдПрдХ рдорд╛рдирдХ рдФрд░ рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рдЖрд╡рд╢реНрдпрдХ рд╡рд┐рд╢реЗрд╖рддрд╛ рдмрди рдЧрдпрд╛ рд╣реИред рдпрджрд┐ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЧрд╛рдпрдм рд╣реИ, рддреЛ рд▓рдЧрднрдЧ рд╕рднреА рд╣рд╛рд▓ рдХреЗ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдПрдХ рдЪреЗрддрд╛рд╡рдиреА рджрд┐рдЦрд╛рддреЗ рд╣реИрдВ рдХрд┐ рд╕рд╛рдЗрдЯ рдХрд╛ рдХрдиреЗрдХреНрд╢рди "рд╕реБрд░рдХреНрд╖рд┐рдд рдирд╣реАрдВ рд╣реИ" рдФрд░ рдЗрд╕реЗ рдЧреЛрдкрдиреАрдп рдЬрд╛рдирдХрд╛рд░реА рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрд╢рдВрд╕рд╛ рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВред

рд▓реЗрдХрд┐рди рдпрд╣ рдкрддрд╛ рдЪрд▓рд╛ рд╣реИ рдХрд┐ рдПрдбреНрд░реЗрд╕ рдмрд╛рд░ рдореЗрдВ "рд▓реЙрдХ" рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рд╣рдореЗрд╢рд╛ рд╕реБрд░рдХреНрд╖рд╛ рдХреА рдЧрд╛рд░рдВрдЯреА рдирд╣реАрдВ рджреЗрддреА рд╣реИред рдПрд▓реЗрдХреНрд╕рд╛ рд░реИрдВрдХрд┐рдВрдЧ рд╕реЗ 10,000 рдЕрдЧреНрд░рдгреА рд╕рд╛рдЗрдЯреЛрдВ рдХреА рдЬрд╛рдВрдЪ рд╕реЗ рдкрддрд╛ рдЪрд▓рд╛ рдХрд┐ рдЙрдирдореЗрдВ рд╕реЗ рдХрдИ рдПрд╕рдПрд╕рдПрд▓ / рдЯреАрдПрд▓рдПрд╕ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдореЗрдВ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЗ рдЕрдзреАрди рд╣реИрдВ, рдЖрдорддреМрд░ рдкрд░ рдЙрдк-рдбреЛрдореЗрди рдпрд╛ рдирд┐рд░реНрднрд░рддрд╛ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗред рдЕрдзреНрдпрдпрди рдХреЗ рд▓реЗрдЦрдХреЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░, рдЖрдзреБрдирд┐рдХ рд╡реЗрдм рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреА рдЬрдЯрд┐рд▓рддрд╛ рд╣рдорд▓реЗ рдХреА рд╕рддрд╣ рдХреЛ рдмрд╣реБрдд рдмрдврд╝рд╛рддреА рд╣реИред

рдЕрдиреБрд╕рдВрдзрд╛рди рдХреЗ рдкрд░рд┐рдгрд╛рдо


рдЕрдзреНрдпрдпрди рд╡реЗрдирд┐рд╕ рд╕реАрдП 'рдлреЛрд╕рд╛рд░реА (рдЗрдЯрд▓реА) рдФрд░ рд╡рд┐рдпрдирд╛ рддрдХрдиреАрдХреА рд╡рд┐рд╢реНрд╡рд╡рд┐рджреНрдпрд╛рд▓рдп рдХреЗ рд╡рд┐рд╢реЗрд╖рдЬреНрдЮреЛрдВ рджреНрд╡рд╛рд░рд╛ рдЖрдпреЛрдЬрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╡реЗ рд╕реБрд░рдХреНрд╖рд╛ рдФрд░ рдЧреЛрдкрдиреАрдпрддрд╛ рдкрд░ 40 рд╡реЗрдВ IEEE рд╕рдВрдЧреЛрд╖реНрдареА рдореЗрдВ рдПрдХ рд╡рд┐рд╕реНрддреГрдд рд░рд┐рдкреЛрд░реНрдЯ рдкреЗрд╢ рдХрд░реЗрдВрдЧреЗ, рдЬреЛ 20-22 рдордИ, 2019 рдХреЛ рд╕реИрди рдлреНрд░рд╛рдВрд╕рд┐рд╕реНрдХреЛ рдореЗрдВ рдЖрдпреЛрдЬрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред

рдПрд▓реЗрдХреНрд╕рд╛ рд╕реВрдЪреА рд╕реЗ 10,000 рд╕рдмрд╕реЗ рд▓реЛрдХрдкреНрд░рд┐рдп HTTPS рд╕рд╛рдЗрдЯреЛрдВ рдФрд░ 90,816 рд╕рдВрдмрдВрдзрд┐рдд рдореЗрдЬрдмрд╛рдиреЛрдВ рдХреА рдЬрд╛рдБрдЪ рдХреА рдЧрдИред рдХрдордЬреЛрд░ рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлрд╝рд┐рдХ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди 5574 рдореЗрдЬрдмрд╛рдиреЛрдВ рдкрд░ рдкрд╛рдП рдЧрдП, рдпрд╛рдиреА рдХреБрд▓ рдХрд╛ рд▓рдЧрднрдЧ 5.5%:

  • 4818 MITM рдХреЗ рд▓рд┐рдП рдЕрд╕реБрд░рдХреНрд╖рд┐рдд
  • 733 рдЯреАрдПрд▓рдПрд╕ рдХреЗ рдкреВрд░реНрдг рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рдЕрд╕реБрд░рдХреНрд╖рд┐рдд
  • рдЖрдВрд╢рд┐рдХ рдЯреАрдПрд▓рдПрд╕ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП 912 рдХрдордЬреЛрд░

898 рд╕рд╛рдЗрдЯреЗрдВ рд╣реИрдХрд┐рдВрдЧ рдХреЗ рд▓рд┐рдП рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдЦреБрд▓реА рд╣реИрдВ, рдЕрд░реНрдерд╛рдд, рд╡реЗ рдмрд╛рд╣рд░реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рдЗрдВрдЬреЗрдХреНрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреЗ рд╣реИрдВ, рдФрд░ 977 рд╕рд╛рдЗрдЯреЗрдВ рдХрдордЬреЛрд░ рд░реВрдк рд╕реЗ рд╕рдВрд░рдХреНрд╖рд┐рдд рдкреГрд╖реНрдареЛрдВ рд╕реЗ рд╕рд╛рдордЧреНрд░реА рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рддреА рд╣реИрдВ, рдЬрд┐рд╕рдХреЗ рд╕рд╛рде рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдмрд╛рддрдЪреАрдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рд╢реЛрдзрдХрд░реНрддрд╛рдУрдВ рдиреЗ рдЬреЛрд░ рджреЗрдХрд░ рдХрд╣рд╛ рдХрд┐ 898 "рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╕рдордЭреМрддрд╛" рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЗ рдмреАрдЪ рдСрдирд▓рд╛рдЗрди рд╕реНрдЯреЛрд░, рд╡рд┐рддреНрддреАрдп рд╕реЗрд╡рд╛рдПрдВ рдФрд░ рдЕрдиреНрдп рдмрдбрд╝реА рд╕рд╛рдЗрдЯреЗрдВ рд╣реИрдВред 898 рд╕рд╛рдЗрдЯреЛрдВ рдореЗрдВ рд╕реЗ 660 рдХрдордЬреЛрд░ рд╣реЛрд╕реНрдЯ рд╕реЗ рдмрд╛рд╣рд░реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рддреЗ рд╣реИрдВ: рдпрд╣ рдЦрддрд░реЗ рдХрд╛ рдореБрдЦреНрдп рд╕реНрд░реЛрдд рд╣реИред рд▓реЗрдЦрдХреЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░, рдЖрдзреБрдирд┐рдХ рд╡реЗрдм рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреА рдЬрдЯрд┐рд▓рддрд╛ рд╣рдорд▓реЗ рдХреА рд╕рддрд╣ рдХреЛ рдмрд╣реБрдд рдмрдврд╝рд╛рддреА рд╣реИред

рдЕрдиреНрдп рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреА рдЦреЛрдЬ рдХреА рдЧрдИ: рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЗ рд▓рд┐рдП 10% рд░реВрдкреЛрдВ рдореЗрдВ рд╕реВрдЪрдирд╛ рдХреЗ рд╕реБрд░рдХреНрд╖рд┐рдд рд╕рдВрдЪрд░рдг рдХреЗ рд╕рд╛рде рд╕рдорд╕реНрдпрд╛рдПрдВ рд╣реИрдВ, рдЬреЛ рдПрдХ рдкрд╛рд╕рд╡рд░реНрдб рд▓реАрдХ рд╣реЛ рд╕рдХрддреА рд╣реИрдВ, 412 рд╕рд╛рдЗрдЯреЗрдВ рдХреБрдХреАрдЬрд╝ рдФрд░ "рд╕рддреНрд░ рдЕрдкрд╣рд░рдг" рдХреА рдЕрд╡рд░реЛрдзрди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИрдВ, рдФрд░ 543 рд╕рд╛рдЗрдЯреЗрдВ рдХреБрдХреА рдЕрдЦрдВрдбрддрд╛ (рдЙрдк-рдбреЛрдореЗрди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ) рдкрд░ рд╣рдорд▓рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрддрд┐рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛрддреА рд╣реИрдВред

рд╕рдорд╕реНрдпрд╛ рдпрд╣ рд╣реИ рдХрд┐ рд╣рд╛рд▓ рдХреЗ рд╡рд░реНрд╖реЛрдВ рдореЗрдВ рдПрд╕рдПрд╕рдПрд▓ / рдЯреАрдПрд▓рдПрд╕ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдФрд░ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рдореЗрдВ рдХрдИ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рдкрд╣рдЪрд╛рди рдХреА рдЧрдИ рд╣реИ: POODLE (CVE-2014-3566), BEAST (CVE-2011-3389), CRIME (CVE-2012-4929), BREACH (CVE) -2013-3587) рдФрд░ рд╣рд╛рд░реНрдЯрдмреНрд▓реЗрдб (CVE-2014-0160)ред рдЙрдирдХреЗ рдЦрд┐рд▓рд╛рдл рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рд▓рд┐рдП, рдкреБрд░рд╛рдиреЗ рдЕрд╕реБрд░рдХреНрд╖рд┐рдд рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЗ рдЙрдкрдпреЛрдЧ рд╕реЗ рдмрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рд╕рд░реНрд╡рд░ рдФрд░ рдХреНрд▓рд╛рдЗрдВрдЯ рд╕рд╛рдЗрдб рдкрд░ рдХрдИ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред рд▓реЗрдХрд┐рди рдпрд╣ рдПрдХ рдЧреИрд░-рддреБрдЪреНрдЫ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕ рддрд░рд╣ рдХреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рд╕рд┐рдлрд░ рдФрд░ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ рд╡реНрдпрд╛рдкрдХ рд╕реЗрдЯ рд╕реЗ рд╡рд┐рдХрд▓реНрдк рдкреНрд░рджрд╛рди рдХрд░рддреА рд╣реИрдВ, рдЬрд┐рдиреНрд╣реЗрдВ рд╕рдордЭрдирд╛ рдХрд╛рдлреА рдореБрд╢реНрдХрд┐рд▓ рд╣реИред рдпрд╣ рд╣рдореЗрд╢рд╛ рд╕реНрдкрд╖реНрдЯ рдирд╣реАрдВ рд╣реЛрддрд╛ рд╣реИ рдХрд┐ рд╕рд┐рдлрд░ рдФрд░ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ рдХреМрди рд╕реЗ рд╡рд┐рд╢реЗрд╖ рд╕реЗрдЯ "рдХрд╛рдлреА рд╕реБрд░рдХреНрд╖рд┐рдд" рдорд╛рдиреЗ рдЬрд╛рддреЗ рд╣реИрдВред

рдЕрдиреБрд╢рдВрд╕рд┐рдд рд╕реЗрдЯрд┐рдВрдЧреНрд╕


рдЕрдиреБрд╢рдВрд╕рд┐рдд HTTPS рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреА рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рддреМрд░ рдкрд░ рдЕрдиреБрдореЛрджрд┐рдд рдФрд░ рд╕рд╣рдордд рд╕реВрдЪреА рдореЗрдВ рдХреЛрдИ рдирд╣реАрдВ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдореЛрдЬрд╝рд┐рд▓рд╛ рдПрд╕рдПрд╕рдПрд▓ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЬреЗрдирд░реЗрдЯрд░ рдЖрд╡рд╢реНрдпрдХ рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рд╕реНрддрд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рдХрдИ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╡рд┐рдХрд▓реНрдк рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпрд╣рд╛рдБ nginx 1.14.0 рд╕рд░реНрд╡рд░ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд╢рдВрд╕рд┐рдд рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рджреА рдЧрдИ рд╣реИрдВ:

рдЖрдзреБрдирд┐рдХ рд╡рд┐рдзрд╛


рд╕рдмрд╕реЗ рдкреБрд░рд╛рдиреЗ рд╕рдорд░реНрдерд┐рдд рдХреНрд▓рд╛рдЗрдВрдЯ: рдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕ 27, рдХреНрд░реЛрдо 30, рдЖрдИрдИ 11 рд╡рд┐рдВрдбреЛрдЬ 7, рдПрдЬ, рдУрдкреЗрд░рд╛ 17, рд╕рдлрд╛рд░реА 9, рдПрдВрдбреНрд░реЙрдЗрдб 5.0 рдФрд░ рдЬрд╛рд╡рд╛ 8 рдкрд░

server { listen 80 default_server; listen [::]:80 default_server; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://$host$request_uri; } server { listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # modern configuration. tweak to your needs. ssl_protocols TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; resolver <IP DNS resolver>; .... }

рдФрд╕рдд рд╕рдорд░реНрдерди


рд╕рдмрд╕реЗ рдкреБрд░рд╛рдиреЗ рд╕рдорд░реНрдерд┐рдд рдЧреНрд░рд╛рд╣рдХ: рдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕ 1, рдХреНрд░реЛрдо 1, рдЖрдИрдИ 7, рдУрдкреЗрд░рд╛ 5, рд╕рдлрд╛рд░реА 1, рд╡рд┐рдВрдбреЛрдЬ рдПрдХреНрд╕рдкреА IE8, рдПрдВрдбреНрд░реЙрдЗрдб 2.3, рдЬрд╛рд╡рд╛ 7

 server { listen 80 default_server; listen [::]:80 default_server; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://$host$request_uri; } server { listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits ssl_dhparam /path/to/dhparam.pem; # intermediate configuration. tweak to your needs. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; resolver <IP DNS resolver>; .... }

рдкреБрд░рд╛рдирд╛ рд╕рд╣рд╛рд░рд╛


рд╕рдмрд╕реЗ рдкреБрд░рд╛рдиреЗ рд╕рдорд░реНрдерд┐рдд рдЧреНрд░рд╛рд╣рдХ: Windows XP IE6, Java 6

 server { listen 80 default_server; listen [::]:80 default_server; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://$host$request_uri; } server { listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits ssl_dhparam /path/to/dhparam.pem; # old configuration. tweak to your needs. ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP'; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; resolver <IP DNS resolver>; .... }

рдпрд╣ рдЕрдиреБрд╢рдВрд╕рд╛ рдХреА рдЬрд╛рддреА рд╣реИ рдХрд┐ рдЖрдк рд╣рдореЗрд╢рд╛ рдкреВрд░реНрдг рд╕рд┐рдлрд░ рд╕реБрдЗрдЯ рдФрд░ рдУрдкрдирдПрд╕рдПрд╕рдПрд▓ рдХреЗ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдг рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред рд╕рд░реНрд╡рд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рд╕рд┐рдлрд░ рд╕реВрдЯ рдЙрд╕ рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░рддрд╛ рд╣реИ рдЬрд┐рд╕рдореЗрдВ рдЙрдирдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛, рдЬреЛ рдХреНрд▓рд╛рдЗрдВрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддрд╛ рд╣реИред

рдЕрдиреБрд╕рдВрдзрд╛рди рд╕реЗ рдкрддрд╛ рдЪрд▓рддрд╛ рд╣реИ рдХрд┐ HTTPS рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рдкрд░реНрдпрд╛рдкреНрдд рдирд╣реАрдВ рд╣реИред "рд╣рд╛рд▓рд╛рдВрдХрд┐ рд╣рдо 2005 рдореЗрдВ рдХреБрдХреАрдЬрд╝ рдХреЛ рд╕рдВрд╕рд╛рдзрд┐рдд рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВ, рдФрд░ рд╕рднреНрдп рдЯреАрдПрд▓рдПрд╕ рдПрдХ рдЖрдо рдмрд╛рдд рдмрди рдЧрдИ рд╣реИ, рдпрд╣ рдкрддрд╛ рдЪрд▓рддрд╛ рд╣реИ рдХрд┐ рдпреЗ рдмреБрдирд┐рдпрд╛рджреА рдЪреАрдЬреЗрдВ рдЖрд╢реНрдЪрд░реНрдпрдЬрдирдХ рд░реВрдк рд╕реЗ рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдмрд╣реБрдд рд▓реЛрдХрдкреНрд░рд┐рдп рд╕рд╛рдЗрдЯреЛрдВ рдХреЗ рд▓рд┐рдП рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд░реНрдпрд╛рдкреНрдд рдирд╣реАрдВ рд╣реИрдВ," рдХрд╛рдо рдХреЗ рд▓реЗрдЦрдХреЛрдВ рдХрд╛ рдХрд╣рдирд╛ рд╣реИ ред рд╕рд░реНрд╡рд░ рдФрд░ рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЗ рдмреАрдЪ рдЪреИрдирд▓ рдХреА рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдЙрдк-рдбреЛрдореЗрди рдФрд░ рддреГрддреАрдп-рдкрдХреНрд╖ рдореЗрдЬрдмрд╛рдиреЛрдВ рд╕реЗ рдмреБрдирд┐рдпрд╛рджреА рдврд╛рдВрдЪреЗ рдХреА рд╕рд╛рд╡рдзрд╛рдиреАрдкреВрд░реНрд╡рдХ рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдЬрд╣рд╛рдВ рд╕реЗ рд╕рд╛рдЗрдЯ рдХреЗ рд▓рд┐рдП рд╕рд╛рдордЧреНрд░реА рдХреА рдЖрдкреВрд░реНрддрд┐ рдХреА рдЬрд╛рддреА рд╣реИред рд╣реЛ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдпрд╣ рдХрд┐рд╕реА рддреАрд╕рд░реЗ рдкрдХреНрд╖ рдХреА рдХрдВрдкрдиреА рд╕реЗ рдСрдбрд┐рдЯ рдХрд░рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдордЭ рдореЗрдВ рдЖрддрд╛ рд╣реИ рдЬреЛ рд╕реВрдЪрдирд╛ рд╕реБрд░рдХреНрд╖рд╛ рдореЗрдВ рдорд╛рд╣рд┐рд░ рд╣реИред




Source: https://habr.com/ru/post/hi446712/

More articles:


All Articles