ssl_ciphers
Задает список шифров, используемых для SSL/TLS-соединений в NGINX. — NGINX HTTP Core
Описание
Директива `ssl_ciphers` в NGINX указывает, какие шифры разрешены для SSL/TLS‑соединений, позволяя администраторам контролировать криптографические протоколы, которые могут использоваться для защищенной передачи данных. Эта директива принимает один аргумент — список строк шифров, отформатированных в соответствии с документацией OpenSSL или NGINX. Порядок шифров имеет значение: сервер будет пытаться использовать шифры в указанном порядке при согласовании защищенных соединений с клиентами. Если клиент не поддерживает ни один из указанных шифров, он не сможет установить защищенное соединение с сервером. Важно, чтобы администраторы сервера выбирали шифры, обеспечивающие достаточный уровень безопасности и поддерживаемые клиентами, которые ожидаются для подключения. Установив эту директиву, они могут снизить уязвимости, связанные со старыми или слабыми шифрами, а также ограничить спектр атак на защищенные соединения. Для более сложных конфигураций эту директиву можно комбинировать с другими, связанными с SSL, директивами, такими как `ssl_protocols` и `ssl_prefer_server_ciphers`, для повышения уровня безопасности. При использовании этой директивы следует проводить надлежащее тестирование и проверку, чтобы убедиться, что достигнут требуемый уровень безопасности и сохранена совместимость с клиентскими приложениями.
Пример конфига
ssl_ciphers 'HIGH:!aNULL:!MD5';
Убедитесь, что указанные шифры поддерживаются вашей версией OpenSSL и NGINX.
Использование устаревших или слабых шифров может подвергнуть ваш сервер уязвимостям безопасности.
Обязательно регулярно обновляйте списки шифров, чтобы соответствовать последним стандартам безопасности.