grpc_ssl_ciphers
Директива `grpc_ssl_ciphers` задаёт набор шифров, которые NGINX будет использовать для SSL/TLS‑соединений в gRPC‑сервисах. — NGINX HTTP Core
Описание
Директива `grpc_ssl_ciphers` в NGINX настраивает наборы шифров, которые могут использоваться для защищённых соединений в gRPC‑приложениях. Когда gRPC‑служба настроена на использование SSL/TLS, требуется защищённый канал связи между клиентом и сервером. Директива `grpc_ssl_ciphers` позволяет явно указать, какие шифры сервер должен принимать при согласовании SSL/TLS‑соединений, обеспечивая совместимость и безопасность в зависимости от потребностей вашего приложения. Директива применима в контекстах `http`, `server` и `location`, что даёт гибкость при определении наборов шифров для глобальных или конкретных случаев. Директива принимает один аргумент — двоеточием разделённый список шифров. Каждый шифр в списке должен быть допустимым согласно библиотеке SSL/TLS, используемой NGINX, обычно OpenSSL. Если указано несколько шифров, при установлении защищённого соединения они будут оцениваться в указанном порядке, что позволяет приоритизировать выбор шифров. При настройке наборов шифров важно учитывать безопасность приложения, поскольку использование слабых или устаревших шифров может подвергнуть систему уязвимостям. Кроме того, эта директива взаимодействует с другими, связанными с SSL, директивами для создания защищённой среды для gRPC‑коммуникаций.
Пример конфига
server {
listen 443 ssl;
grpc_ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256';
}Убедитесь, что указанные вами шифры совместимы с версией библиотеки SSL/TLS.
Использование устаревших или слабых шифров может привести к уязвимостям в безопасности; регулярно обновляйте список шифров в соответствии с лучшими практиками.