Я установил nginx с ssl. Все работает отлично, онлайн-инструменты дают домену хорошую оценку.
Теперь меня интересует одна конкретная опция конфигурации nginx; ssl_dhparam. Должен ли я генерировать и устанавливать эти параметры? Влияет ли это на безопасность или вычислительную нагрузку ssl?
Должен ли я сгенерировать и установить эти параметры?
Да.
Влияет ли это на безопасность ... ssl?
Да, при включении Совершенная прямая секретность. An соответствующий набор шифров также необходимо настроить.
Если будущий злоумышленник скомпрометирует ваш TLS, с PFS прошлый трафик, который они перехватили и сохранили, по-прежнему не может быть расшифрован.
Создайте простой DHE не меньше чем ваш закрытый ключ RSA сертификата SSL. Учитывая 2048-битный закрытый ключ:
$ openssl dhparam -out dhparam.pem 2048
Generating DH parameters, 2048 bit long safe prime, generator 2
..+..+...............+
Имеет ли это какое-либо влияние на [] ... вычислительную нагрузку ssl?
Слишком мало поводов для беспокойства.
Google I / O 2014 прошел хорошо HTTPS везде выступление, в котором рассматривались эти и связанные с ними темы в широком смысле.
Diffie Helman - хороший алгоритм для обмена ключами, но он требует слишком много времени для вычислений, замедляющих работу вашего сайта. Я рекомендую использовать RC4-SHA который слабее DH, но служит своей цели. Если это поможет, google.com использует RC4-SHA. Вы можете проверить алгоритм для любого веб-сайта, используя следующее:
openssl s_client -host HOSTNAME -port 443
Я предлагаю вам проверить, какой обмен ключами и шифрование используют другие веб-сайты, похожие на ваш, и использовать подходящий алгоритм.
Также зачитайте этот статья на ту же тему.