Nginx - Aktiver Perfect Forward Secrecy

For at aktivere Perfect Forward Secrecy for Nginx webserver 1.0.6 og højere, er det nødvendigt at tilpasse konfigurationen, så de rigtige cipher suites tilbydes.

Nginx konfiguration

Følgende justeringer foretages i konfigurationen af ??hjemmesidens Server Blocks, for hvilket SSL protokollen er aktiveret. Konfigurationsfilerne er normalt gemt i /etc/nginx/sites-enabled/. Med nedenstående linjer angiver vi, at der ikke gøres brug af SSLv2 og SSLv3, og at webbrowseren skal respektere de tilbudte ciphers.

server {
listen 443 ssl;
...
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_prefer_server_ciphers on;
...
}

Desuden er præference angivet for SSLCipherSuite parameteren. Nedenfor er 3 muligheder, hver med en forklaring.

1. Konfiguration med præference for GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb), og RC4 (RC4 er sikkert mod BEAST). For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

2. Konfiguration med præference for GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb) og ingen RC4. For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";

3. Konfiguration foretrækker GCM (Galois Counter Mode) suiter (beskyttet mod timing angreb) eller RC4 som en sidste udvej, når der anvendes forældede browsere. For hastigheden anbefales brug af ECDHE suiter.

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4";

Nginx webserver test

Når du har set parametrene i konfigurationen af webstedet, kan du teste dem med følgende kommando:

sudo nginx -t

Nginx webserver genstart

Hvis der ikke rapporteres om fejl, kan Nginx webserver genstartes med følgende kommando:

sudo service nginx restart

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.