Mercurial > hg > nginx-site
comparison xml/ru/docs/http/configuring_https_servers.xml @ 1499:3687cc9a3592
Removed SSLv3 from the default value of ssl_protocols and friends.
author | Yaroslav Zhuravlev <yar@nginx.com> |
---|---|
date | Thu, 28 May 2015 14:48:44 +0300 |
parents | 8fe28c6edaa1 |
children | 47f70f50d554 |
comparison
equal
deleted
inserted
replaced
1498:fa144d919ef9 | 1499:3687cc9a3592 |
---|---|
6 <!DOCTYPE article SYSTEM "../../../../dtd/article.dtd"> | 6 <!DOCTYPE article SYSTEM "../../../../dtd/article.dtd"> |
7 | 7 |
8 <article name="Настройка HTTPS-серверов" | 8 <article name="Настройка HTTPS-серверов" |
9 link="/ru/docs/http/configuring_https_servers.html" | 9 link="/ru/docs/http/configuring_https_servers.html" |
10 lang="ru" | 10 lang="ru" |
11 rev="7" | 11 rev="8" |
12 author="Игорь Сысоев" | 12 author="Игорь Сысоев" |
13 editor="Brian Mercer"> | 13 editor="Brian Mercer"> |
14 | 14 |
15 <section> | 15 <section> |
16 | 16 |
53 <para> | 53 <para> |
54 С помощью директив <link doc="ngx_http_ssl_module.xml" id="ssl_protocols"/> и | 54 С помощью директив <link doc="ngx_http_ssl_module.xml" id="ssl_protocols"/> и |
55 <link doc="ngx_http_ssl_module.xml" id="ssl_ciphers"/> | 55 <link doc="ngx_http_ssl_module.xml" id="ssl_ciphers"/> |
56 можно ограничить соединения | 56 можно ограничить соединения |
57 использованием только “сильных” версий и шифров SSL/TLS. | 57 использованием только “сильных” версий и шифров SSL/TLS. |
58 Начиная с версии 1.0.5 nginx по умолчанию использует | 58 По умолчанию nginx использует |
59 “<literal>ssl_protocols SSLv3 TLSv1</literal>” и | 59 “<literal>ssl_protocols TLSv1 TLSv1.1 TLSv1.2</literal>” и |
60 “<literal>ssl_ciphers HIGH:!aNULL:!MD5</literal>”, | 60 “<literal>ssl_ciphers HIGH:!aNULL:!MD5</literal>”, |
61 поэтому явная их настройка имеет смысл только для более ранних версий nginx. | 61 поэтому их явная настройка в общем случае не требуется. |
62 Начиная с версий 1.1.13 и 1.0.12 nginx по умолчанию использует | 62 Следует отметить, что значения по умолчанию этих директив несколько раз |
63 “<literal>ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2</literal>”. | 63 <link id="compatibility">менялись</link>. |
64 </para> | 64 </para> |
65 | 65 |
66 <para> | 66 <para> |
67 Известно, что шифры с CBC-режимом уязвимы к ряду атак, в частности | 67 Известно, что шифры с CBC-режимом уязвимы к ряду атак, в частности |
68 к BEAST-атаке (см. | 68 к BEAST-атаке (см. |
468 | 468 |
469 <para> | 469 <para> |
470 <list type="bullet"> | 470 <list type="bullet"> |
471 | 471 |
472 <listitem> | 472 <listitem> |
473 Версия 1.9.1 и более поздние: протоколами SSL по умолчанию являются | |
474 TLSv1, TLSv1.1 и TLSv1.2 (если поддерживается библиотекой OpenSSL). | |
475 </listitem> | |
476 | |
477 <listitem> | |
473 Версия 0.7.65, 0.8.19 и более поздние: протоколами SSL по умолчанию являются | 478 Версия 0.7.65, 0.8.19 и более поздние: протоколами SSL по умолчанию являются |
474 SSLv3, TLSv1, TLSv1.1 и TLSv1.2 (если поддерживается библиотекой OpenSSL). | 479 SSLv3, TLSv1, TLSv1.1 и TLSv1.2 (если поддерживается библиотекой OpenSSL). |
475 </listitem> | 480 </listitem> |
476 | 481 |
477 <listitem> | 482 <listitem> |