ssl_session_ticket_key

Описание

Директива `ssl_session_ticket_key` имеет решающее значение для включения и управления поддержкой SSL session ticket в NGINX. Эта директива задаёт ключ, используемый для шифрования и расшифровки session ticket, что позволяет клиентам возобновлять SSL-сессии без полного рукопожатия. Директива предполагает определённую длину ключа для обеспечения безопасности, которая в идеале должна соответствовать алгоритму шифрования, используемому для session ticket. Важно отметить, что этот ключ должен храниться в тайне и обращаться с ним следует осторожно, поскольку его раскрытие или компрометация могут привести к уязвимостям в управлении SSL-сессиями. При запуске сервера ключ должен генерироваться безопасным образом, и его управление критически важно. Если ключ session ticket на сервере изменится, все сессии, установленные с использованием старого ключа, станут недействительными, и клиенты не смогут их возобновить. Поэтому рекомендуется периодически менять ключи session ticket, но делать это таким образом, чтобы минимизировать неудобства для клиентов. Директива `ssl_session_ticket_key` может использоваться как в контексте `http`, так и в контексте `server`, что делает её гибкой для применения в обеих областях. Чтобы динамически задавать или изменять ключи session ticket, NGINX позволяет несколько раз объявлять эту директиву с разными ключами в разных контекстах, хотя использование одного и того же ключа в разных конфигурациях может быть нежелательным, если это не строго контролируется. Кроме того, может потребоваться полная перезагрузка сервера, чтобы новые ключи вступили в силу, если они были изменены после запуска сервера.

Пример конфига

ssl_session_ticket_key /etc/ssl/nginx/ticket.key;