ssl_ciphers
Задает список шифров, используемых для SSL/TLS-соединений в NGINX.
Описание
Директива ssl_ciphers в NGINX указывает, какие шифры разрешены для SSL/TLS‑соединений, позволяя администраторам контролировать криптографические протоколы, которые могут использоваться для защищенной передачи данных. Эта директива принимает один аргумент — список строк шифров, отформатированных в соответствии с документацией OpenSSL или NGINX.
Порядок шифров имеет значение: сервер будет пытаться использовать шифры в указанном порядке при согласовании защищенных соединений с клиентами. Если клиент не поддерживает ни один из указанных шифров, он не сможет установить защищенное соединение с сервером. Важно, чтобы администраторы сервера выбирали шифры, обеспечивающие достаточный уровень безопасности и поддерживаемые клиентами, которые ожидаются для подключения. Установив эту директиву, они могут снизить уязвимости, связанные со старыми или слабыми шифрами, а также ограничить спектр атак на защищенные соединения.
Для более сложных конфигураций эту директиву можно комбинировать с другими, связанными с SSL, директивами, такими как ssl_protocols и ssl_prefer_server_ciphers, для повышения уровня безопасности. При использовании этой директивы следует проводить надлежащее тестирование и проверку, чтобы убедиться, что достигнут требуемый уровень безопасности и сохранена совместимость с клиентскими приложениями.
Пример конфига
ssl_ciphers 'HIGH:!aNULL:!MD5';
Убедитесь, что указанные шифры поддерживаются вашей версией OpenSSL и NGINX.
Использование устаревших или слабых шифров может подвергнуть ваш сервер уязвимостям безопасности.
Обязательно регулярно обновляйте списки шифров, чтобы соответствовать последним стандартам безопасности.