Obs: Denna guide kräver grundläggande kunskaper om NGINX och dess konfiguration.
Ett fungerande certifikat (signerade crt-filer, privat nyckel).
Att konfigurera en webbsida att prata via SSL är ett bra sätt att förbättra säkerheten.
Detta gäller både dig själv och dina besökare.
Vad man ska vara medveten om är att säkerheten kan förbättras ytterligare.
Oftast brukar webbservrar komma förkonfigurerade för ganska bred kompatibilitet. Detta för att SSL certifikatet ska fungera med gamla
Tyvärr skapar detta vissa problem och sårbarheter som illasinnade kan utnyttja.webbläsare eller vissa äldre mobiler.
Vissa exempel är när man tillåter webbläsaren att bestämma allt för mycket om vilka protokoll eller krypteringar som ska användas med certifikatet.
Det kan i värsta fall leda till kryptering som går att knäcka eller att din server blir överbelastad av en illasinnad eller felkonfigurerad klient.
I koden nedan har vi valt att strikt definera vilka ”ciphers” som tillåts och hur krypteringen får sättas upp samt omförhandlas mellan client / server. Den bör stå pall för de flesta certifikattester och bra betyg.
Exempelkod för SSL-konfiguration för en server.
server {[code]
ssl on;
ssl_certificate /etc/nginx/ssl/example.se-bundle.crt;
ssl_certificate_key /etc/nginx/ssl/example.se.key;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4-SHA:HIGH:!kEDH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}
[/code]