nginx 보안 TLS 구성 결과 SSL_ERROR_NO_CYPHER_OVERLAP

tag-icon tag-icon security ssl webserver nginx tls
nginx 보안 TLS 구성 결과 SSL_ERROR_NO_CYPHER_OVERLAP

나는 nginx 1.10.3 TLS 구성을 강화하기 위해 2018년 1월의 가이드를 따랐습니다.

이제 SSL_ERROR_NO_CYPHER_OVERLAPFirefox 66.0.1을 사용하고 있으며https://www.ssllabs.com/ssltest라고Assessment failed: Failed to communicate with the secure server

이것이 현재 구성입니다. nginx -t성공했습니다.

server {
    listen 80;
    listen [::]:80;
    server_name domain.tld;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name domain.tld;
    root /var/www/domain.tld;
    index index.html;

    ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    ssl_protocols TLSv1.2;
    ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;        
    # add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

    server_tokens off;

    location / {
        try_files $uri $uri/ =404;
    }
}

답변1

귀하의 인증서에 대해 알려진 바는 없지만 RSA 인증서가 여전히 가장 일반적이기 때문에 이를 사용하고 있는 것 같습니다. 단, 귀하의 암호는 모두 ECC 인증서가 필요한 *-ECDSA-* 암호입니다.

자신만의 보안 변형을 생각해 내고 이것이 실제로 얼마나 안전한지, 어떤 부작용이 있는지 이해하지 못하는 대신, 다음과 같은 권장 설정을 사용하는 것이 좋습니다.Mozilla SSL 구성 생성기.

관련 정보