ssl_prefer_server_ciphers
Директива `ssl_prefer_server_ciphers` управляет приоритетом наборов шифров, используемых в SSL/TLS-соединениях. — NGINX HTTP Core
Описание
Директива `ssl_prefer_server_ciphers` в NGINX указывает, должна ли предпочитаемая сервером последовательность наборов шифров иметь приоритет над предпочтениями клиента при установлении SSL/TLS-соединений. По умолчанию процесс SSL/TLS-рукопожатия позволяет клиенту выбирать набор шифров для защиты соединения на основе его предпочтений. Однако некоторые политики безопасности могут требовать, чтобы окончательное решение о том, какой набор шифров будет выбран, принималось сервером, особенно для обеспечения более сильных или более стабильных методов шифрования. Когда директива установлена в 'on', NGINX игнорирует список поддерживаемых клиентом наборов шифров и вместо этого выбирает самый сильный из списка, заданного на сервере, для данного соединения. Если установлено значение 'off', сервер будет учитывать предпочтения клиента, что может привести к использованию более слабых шифров, если клиент их предпочитает. Эта директива особенно полезна для сохранения контроля над уровнем безопасности сервера, предотвращая понижение уровня шифрования клиентами во время процесса рукопожатия.
Пример конфига
ssl_prefer_server_ciphers on;
Убедитесь, что список наборов шифров правильно настроен; иначе это может привести к сбоям соединения, если не найдутся совместимые шифры.
Установка этой директивы в 'on' может привести к тому, что клиенты не смогут подключиться, если они не поддерживают предпочитаемые вами сильные шифры.