Hjem
Support
Vejledninger
Nginx
Nginx - Aktiver Perfect Forward Secrecy

Nginx - Aktiver Perfect Forward Secrecy

For at aktivere Perfect Forward Secrecy for Nginx webserver 1.0.6 og højere, er det nødvendigt at tilpasse konfigurationen, så de rigtige cipher suites tilbydes.

Nginx konfiguration

Følgende justeringer foretages i konfigurationen af hjemmesidens Server Blocks, for hvilket SSL protokollen er aktiveret. Konfigurationsfilerne er normalt gemt i /etc/nginx/sites-enabled/. Med nedenstående linjer angiver vi, at der ikke gøres brug af SSLv2 og SSLv3, og at webbrowseren skal respektere de tilbudte ciphers.

server {
listen 443 ssl;
...
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_prefer_server_ciphers on;
...
}

Desuden er præference angivet for SSLCipherSuite parameteren. Nedenfor er 3 muligheder, hver med en forklaring.

1. Konfiguration med præference for GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb), og RC4 (RC4 er sikkert mod BEAST). For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

2. Konfiguration med præference for GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb) og ingen RC4. For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

3. Konfiguration foretrækker GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb) eller RC4 som en sidste udvej, når der anvendes forældede browsere. For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4";