nchan_redis_tls_ciphers
Директива 'nchan_redis_tls_ciphers' задаёт список допустимых TLS шифров для защищённых соединений с Redis в Nchan.
Описание
Директива 'nchan_redis_tls_ciphers' используется в Nchan для определения конкретного набора TLS (Transport Layer Security) шифров, которые будут разрешены при установлении защищённых соединений с экземпляром Redis. Эта директива важна для обеспечения того, чтобы соединения были не только зашифрованы, но и защищены от известных уязвимостей посредством соблюдения определённого набора шифров. Указанные шифры будут использоваться OpenSSL, когда Nchan взаимодействует с Redis по TLS, поэтому важно настраивать их с учётом как требований безопасности, так и совместимости с сервером Redis.
Аргументом этой директивы является строка, перечисляющая шифры в формате, ожидаемом OpenSSL. Можно указать несколько шифров, разделённых двоеточиями, что позволяет сформировать гибкий и безопасный набор шифров, соответствующий политике безопасности вашего приложения. Выбор подхода к конфигурации этих шифров может повлиять на производительность, безопасность и совместимость, поэтому важно учитывать последствия выбранных алгоритмов.
Эта директива обычно используется в контексте 'upstream' конфигурации Nginx, что означает, что она применяется только к блокам upstream, где настроены TLS‑соединения с Redis. Правильное использование директивы 'nchan_redis_tls_ciphers' обеспечивает, чтобы обмен данными с Redis не раскрывал конфиденциальную информацию при перехвате или атаках типа «человек посередине», а также помогал соблюдать требования стандартов безопасности.
Пример конфига
upstream redis {
server redis-instance-1:6379;
nchan_redis_tls_ciphers 'HIGH:!aNULL:!MD5';
}Убедитесь, что указанные TLS-шифры поддерживаются как сервером Nginx, так и экземпляром Redis, чтобы избежать сбоев подключения.
Использование слабых шифров может скомпрометировать безопасность соединения, поэтому необходимо регулярно просматривать и обновлять список шифров в соответствии с текущими стандартами безопасности.