ssl_ecdh_curve
在 SSL/TLS 会话中为 ECDH (Elliptic Curve Diffie-Hellman) 密钥交换设置曲线。 — NGINX HTTP Core
ssl_ecdh_curve
httpserver
语法ssl_ecdh_curve curve_name;
默认值none
上下文http, server
模块NGINX HTTP Core
参数1
说明
NGINX 中的 `ssl_ecdh_curve` 指令用于指定在 SSL/TLS 连接中首选用于 ECDH 密钥交换的椭圆曲线。ECDH 是一种密钥交换机制,允许双方在不安全的通信通道上建立共享密钥,该共享密钥随后可用于对称加密。此指令在配置安全连接时尤为重要,因为椭圆曲线的选择会影响安全性和性能。 `ssl_ecdh_curve` 的值可以是单个曲线名称或曲线列表。NGINX 支持多种标准曲线,服务器将使用列表中服务器和客户端均支持的第一个曲线。应选择强且广泛支持的曲线,以最大化兼容性和安全性。此指令可在 `http` 或 `server` 上下文中设置,影响该上下文内所有启用 SSL 的位置。配置错误,例如指定弱曲线,可能导致服务器建立的 TLS 连接存在漏洞。
配置示例
server {
listen 443 ssl;
server_name example.com;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_ecdh_curve secp384r1;
}⚠
在使用此指令之前请确保启用 SSL;否则它将不起作用。
⚠
使用不受支持的曲线可能导致连接失败,或回退到更弱的方法。
⚠
注意与可能不支持现代曲线的旧客户端的兼容性。