Ich habe eine Anleitung vom 01/2018 befolgt, um meine Nginx 1.10.3 TLS-Konfiguration zu härten.
Jetzt habe ich SSL_ERROR_NO_CYPHER_OVERLAPFirefox 66.0.1 undhttps://www.ssllabs.com/ssltestsagtAssessment failed: Failed to communicate with the secure server
Dies ist die aktuelle Konfiguration.
nginx -tist erfolgreich.
server {
listen 80;
listen [::]:80;
server_name domain.tld;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name domain.tld;
root /var/www/domain.tld;
index index.html;
ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA;
ssl_prefer_server_ciphers on;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
# add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
server_tokens off;
location / {
try_files $uri $uri/ =404;
}
}
Antwort1
Über Ihr Zertifikat ist nichts bekannt, aber ich vermute, dass Sie ein RSA-Zertifikat verwenden, da dies immer noch das gebräuchlichste ist. Allerdings sind Ihre Chiffren alle *-ECDSA-*-Chiffren, die ein ECC-Zertifikat erfordern.
Anstatt sich eine eigene Sicherheitsvariante auszudenken und dabei nicht zu verstehen, wie sicher diese wirklich ist und welche Nebenwirkungen sie hat, empfehle ich, einfach empfohlene Einstellungen zu verwenden, wie sie vonMozilla SSL-Konfigurationsgenerator.