Касаемо SSL. А какой класс защиты у вас?

[viper]

Всем привет, несколько дней уже пытаюсь настроить сертификаты на сервере, я имею ввиду тонкую настройку. Лазая по десяткам ресурсов наткнулся на интересный сервис оценки вашего ssl соединения, так как тут довольно многие уже обзавелись данной "плюшкой" предлагаю прогнать свои ресурсы и отписаться о результатах, возможно в процессе возникнет много вопросов по настройки тех или иных параметров, я сам например уперся в класс "C" и никак не могу пробить до класса А+.

Сам ресурс вот

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

(разумеется не реклама, а полезный инструмент)
мои результаты: Если тема не нова, тапками не кидайтесь)

 

[qwers]

Клоуд рулит:)

 

[Jumuro]

Правильная настройка рулит.. :wink:

 

[viper]

У меня всё упёрлось в POODLE (SSLv3), уже не знаю в какую сторону копать, это сделал ssl_protocols TLSv1 TLSv1.1 TLSv1.2;, это тоже smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3, всё равно светится.

 

[Jumuro]

У меня всё упёрлось в POODLE (SSLv3), уже не знаю в какую сторону копать, это сделал ssl_protocols TLSv1 TLSv1.1 TLSv1.2;, это тоже smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3, всё равно светится.

smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 это вообще к nginx не относится.
Вам нужно указать правильный набор шифров и, разумеется, добавить ssl_prefer_server_ciphers on;

 

[qwers]

Jumuro, сегодня попробую правильно настроить:)

 

[Smalesh]

я сам например уперся в класс "C" и никак не могу пробить до класса А+.

Как заставить работать форум по https с сертификатом?

 

[Hope]

 

[viper]

smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 это вообще к nginx не относится.
Вам нужно указать правильный набор шифров и, разумеется, добавить ssl_prefer_server_ciphers on;

я знаю, делал по этому мануалу по этому мануалу

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

,

Как заставить работать форум по https с сертификатом?

у меня так:

server_name site.ru www.site.ru;
        listen 89.218.**.***;
        listen 89.218.**.***:443 ssl spdy;
                ssl on;
                ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
                ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
                ssl_prefer_server_ciphers on;
                add_header Alternate-Protocol  443:npn-spdy/3;
                add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
                add_header  X-Content-Type-Options "nosniff";
                add_header X-Frame-Options DENY;
                spdy_headers_comp 5;
                ssl_buffer_size 1400;
                ssl_session_tickets on;
                resolver 8.8.8.8 8.8.4.4 valid=10m;
                resolver_timeout 10s;
                ssl_stapling on;
                ssl_stapling_verify on;
        set $root_path /var/www/usr/data/www/site.ru;
               
                ssl_certificate /var/www/httpd-cert/usr/site.ru.chained.crt;
                ssl_certificate_key /var/www/httpd-cert/usr/site.ru.key;

однако светит красным этот пудель хоть тресни

 

[Smalesh]

однако светит красным этот пудель хоть тресни

Урл можно? Если палево - можно в личку.

у меня так:

Если у тебя так

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

то откуда SSL3 на первом скрине?

Урл можно? Если палево - можно в личку.

Впрочем это лишнее. И так видно, что конфиг не соответствует выдаче.

PS:А где ssl_dhparam, без него оценка снижается.

 

[viper]

Урл можно? Если палево - можно в личку.

govoritastana.kz

Урл можно? Если палево - можно в личку.


Если у тебя так

то откуда SSL3 на первом скрине?


Впрочем это лишнее. И так видно, что конфиг не соответствует выдаче.

PS:А где ssl_dhparam, без него оценка снижается.

упс, да ssl_dhparam был пропущен, добавил теперь такая печенька

 

[Jumuro]

Посмотреть вложение 41922

Весь конфиг покажите.
Вероятно, что где то искомое правило переопределено.

 

[viper]

Весь конфиг покажите.
Вероятно, что где то искомое правило переопределено.

ЛС

 

[Exist]

Более-менее.
Как можно повысить?

 

[Smalesh]

Вероятно, что где то искомое правило переопределено.

Нет, ларчик открывается проще. Там SNI и sslv3 вытягивается с другого контейнера.

Как можно повысить?

ssl_dhparam + HSTS

fairbug, пройдись по всему конфигу и выключи sslv3, после рестарт nginx - сходу A получишь.

Страждущим рекомендую. Там же генератор.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[xsacha]

На уязвимости тут (

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

)
А тут в процентах (

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

)

 

[viper]

Всем спасибо за помощь, особенно Jumuro, сам бы ещё долго колупался.

 

[qwers]

 

[xsacha]

о и я достиг просвещения с холявными сертификатами.

Да можно один главный конфиг поправить и откл ssl v3 там, а другие можно не трогать.