рд╕рднреА рдХреЛ рдирдорд╕реНрдХрд╛рд░ред
рдЖрдЬ, рд╣рдорд╛рд░рд╛ рд▓рдХреНрд╖реНрдп PCI рдЕрдиреБрдкрд╛рд▓рди рдХреЗ рд▓рд┐рдП Nginx рддреИрдпрд╛рд░ рдХрд░рдирд╛ рд╣реИред рдЕрдзрд┐рдХ рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ, рдПрд╕рдПрд╕рдПрд▓ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдФрд░ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рдиред рдареАрдХ рд╣реИ, рдпрд╛ рд╕рд┐рд░реНрдл рд╣рдорд╛рд░реЗ рдПрд╕рдПрд╕рдПрд▓ рдХрдиреЗрдХреНрд╢рди рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдФрд░ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рд╕реЗ рдЫреБрдЯрдХрд╛рд░рд╛ рдкрд╛рдиреЗ рдХреЗ рд▓рд┐рдПред
рдЗрд╕ рдлреЙрд░реНрдо рдореЗрдВ рдХреЙрдиреНрдлрд┐рдЧ рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛ рд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рднреА рдХреА рдЬрд░реВрд░рдд рд╣реИ :)
ssl_certificate /etc/nginx/card.pem; ssl_certificate_key /etc/nginx/card.key; ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH; ssl_session_cache shared:SSL:10m; ssl_prefer_server_ciphers on;
рд╣рд╛рд▓рд╛рдВрдХрд┐, рдореИрдВ рдХреБрдЫ рд╡рд┐рд╡рд░рдг рдЬреЛрдбрд╝реВрдВрдЧрд╛, рд╣рдо рдмрд┐рдВрджреБрдУрдВ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВрдЧреЗред
рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдирдЧрдиреЗрдХреНрд╕ рдХреЗ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдг рд╣реИрдВ, рддреЛ рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рд╕рдВрднрд╛рд╡рдирд╛ рд╣реИ рдХрд┐ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ "рдордЬрдмреВрдд" рд╕рд┐рдлрд░ рд╣реЛрдВрдЧреЗред рд▓реЗрдХрд┐рди рдлрд┐рд░ рднреА, рд╣рдо рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдорд╛рдиреЛрдВ рдХреЛ рдереЛрдбрд╝рд╛ рдмрджрд▓ рджреЗрдВрдЧреЗ:
ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;
рдЖрд░рд╕реА 4-рдПрд╕рдПрдЪрдП рдХреЛ рд╕реАрдмреАрд╕реА рдореЛрдб рдХреЗ рд╕рд╛рде рд╕рд┐рдлрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд╕рдВрдж рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣рдо рдРрд╕рд╛ рдХрд░рддреЗ рд╣реИрдВ, рдХреНрдпреЛрдВрдХрд┐ рд╡реЗ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИрдВред
рдЖрдк рдЖрджреЗрд╢реЛрдВ рдХреЗ рд╕рд╛рде рд╕рд┐рдлрд░ рдХреА рдкреВрд░реА рд╕реВрдЪреА рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ:
openssl ciphers
рд╣рдо рдПрдХ BEAST рд╣рдорд▓реЗ
CVE-2011-3389 рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдХреЛ рдмрд╛рд╣рд░ рдХрд░рддреЗ рд╣реИрдВ:
ssl_prefer_server_ciphers on;
рд╣рдо рдПрд╕рдПрд╕рдПрд▓ рд╕рддреНрд░реЛрдВ рдХреЗ рдХреИрд╢ рдХреЛ рдХрдиреЗрдХреНрдЯ рдХрд░рддреЗ рд╣реИрдВ, рдпрд╣ рд╣рдореЗрдВ рдмрд╛рд░-рдмрд╛рд░ рдХрдиреЗрдХреНрд╢рди рдХреЗ рджреМрд░рд╛рди рд╕реНрдерд╛рдпреА рдПрд╕рдПрд╕рдПрд▓ рд╣реИрдВрдбрд╢реЗрдХ рд╕реЗ рдмрдЪрд╛рдПрдЧрд╛, рдФрд░ рдЕрдВрддрд┐рдо рдЯреЗрд╕реНрдЯ рдореЗрдВ рдХреБрдЫ рдЕрдВрдХ рдЬреЛрдбрд╝ рджреЗрдЧрд╛ред 1 рдореЗрдЧрд╛рдмрд╛рдЗрдЯ рдХреИрд╢ рдореЗрдВ рд▓рдЧрднрдЧ 4,000 рд╕рддреНрд░ рдлрд┐рдЯ рд╣реЛрддреЗ рд╣реИрдВред
ssl_session_cache shared:SSL:10m;
рд╕рдВрд╕реНрдХрд░рдг 0.7.64, 0.8.18 рдФрд░ рдкрд╣рд▓реЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ SSLv2 рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЬреЛрдбрд╝рдирд╛ рдЪрд╛рд╣рд┐рдП:
ssl_protocols SSLv3 TLSv1;
рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ 0.7.65, 0.8.19 рдФрд░ рдмрд╛рдж рдореЗрдВ: SSLv3, TLSv1, TLSv1.1 рдФрд░ TLSv1.2 рдбрд┐рдлрд╝реЙрд▓реНрдЯ SSL рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╣реИрдВ, рдЬреЛ рд╣рдореЗрдВ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╕реВрдЯ рдХрд░рддреЗ рд╣реИрдВред
рд╣рдо рдПрд╕рдПрд╕рдПрд▓ рд▓реИрдмреНрд╕ рд╕реЗ рдкрд░реАрдХреНрд╖рдг рдХреЗ рд▓рд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ рдФрд░ "рдЧреНрд░реЗрдб рдП" рдФрд░ "рдкреАрд╕реАрдЖрдИ рдЕрдиреБрдкрд╛рд▓рди рд╣рд╛рдБ" рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВ:
www.ssllabs.com/ssltestрдЙрдкрдпреЛрдЧреА рд▓рд┐рдВрдХ:
Nginx.org HTTPS рд╕рд░реНрд╡рд░ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛рдПрд╕рдПрд╕рдПрд▓ / рдЯреАрдПрд▓рдПрд╕ рдХреА рддреИрдирд╛рддреА рд╕рд░реНрд╡рд╢реНрд░реЗрд╖реНрда рдЕрднреНрдпрд╛рд╕рдПрд╕рдПрд╕рдПрд▓ рд╕рд░реНрд╡рд░ рд░реЗрдЯрд┐рдВрдЧ рдЧрд╛рдЗрдбрдпреБрдкреАрдбреА:
RC4 рднреЗрджреНрдпрддрд╛ рдХреЗ рдХрд╛рд░рдг (
http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html ) рдХреЗ рдХрд╛рд░рдг, рдзрдиреНрдпрд╡рд╛рдж, рдореИрдВ рдЖрдкрдХреЛ рд╕рдВрд╕реНрдХрд░рдг рдХреЗ рд▓рд┐рдП рдУрдкрдирдПрд╕рдПрд╕рдПрд▓ рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХреА рд╕рд▓рд╛рд╣ рджреЗрддрд╛ рд╣реВрдВ 1.0.1, рдЬрд╣рд╛рдВ GCM рдФрд░ TLS 1.2 рд╕рдорд░реНрдерд┐рдд рд╣реИрдВред рдЕрднреА рдХреЗ рд▓рд┐рдП, рдпрд╣ рд╕рдм рд╣рдо рдЕрдкрдиреЗ рд╣рд┐рд╕реНрд╕реЗ рдХреЗ рд▓рд┐рдП рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдмреНрд░рд╛рдЙрдЬрд╝рд░реЛрдВ рд╕реЗ рдХрд╛рд░реНрдпреЛрдВ рдХреА рдкреНрд░рддреАрдХреНрд╖рд╛ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред