-
Notifications
You must be signed in to change notification settings - Fork 309
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
几个nginx配置的疑惑 #91
Comments
用它,要么我当时是抄的 https://www.digitalocean.com/community/tools/nginx 生成的,要么是以前到处谷歌搜学nginx时抄来的习惯,要么是为了去跑 https://www.ssllabs.com/ssltest 时看哪些没用上,就加上的,用不用看你自己。具体哪一个原因忘记了。
这参数理由同上
应该是抄的 https://www.digitalocean.com/community/tools/nginx 中的
这参数没研究过,如果 https://www.digitalocean.com/community/tools/nginx 生成中没有的话我也不知道它。这配置跑 https://www.ssllabs.com/ssltest 我记得是A+
写了一句注释,太新手我也没法,网上自学,都是要有一定自己解决问题能力才来的。 |
sslabs和digitalocean的配置文件也是反对加 early_data 这个没有搜到安全方面的影响,不过xray的ws实现能0-rtt,也许这个开了有正面作用?
sslabs 如果 ssl_session_tickets 和 ssl_prefer_server_ciphers on 都开启了肯定是没法 A+的。不过问题在于这是针对网站的安全性测评,是否适用于代理环境值得商榷。是否应该和技术安全大佬们商量后修改一下模版呢? |
谢谢你提,你不提我也不知道,我改一下。
我也不清楚,当时这参数看到它时,有兴趣学加哪,就加上了。暂时不动吧,我懒了。应该对ws实现能0-rtt无帮助,我觉得。纯是别人正常访问你网站用?
我搜了下它,开不开看个人吧,我有空改改,客户端都是自己在用,没人专门设置它的值吧,我是这样想的。
我是菜鸟 ,东西内容是个人自用和方便自己复制粘贴放网上的。。。 |
谢谢你的建议,我弄下 |
有什么再回复或开ISS找我。 |
你好,
能否解释下以下几个 nginx 配置在代理环境下带来的性能提升,以及是否有牺牲安全性的代价。
以此为例
ssl_session_tickets on;
Mozilla 建议 1.23.2 以前版本 nginx 禁用此选项因为会损坏前向保密 PFS。次选项是否对代理环境下有性能提升以及是否可能被用来代理识别?
mozilla/server-side-tls#135
ssl_early_data on;
在拒绝非证书内域名连接的 nginx block 中是否有意义?是否会安全性影响?
看 v2ray issue 现在还不支持 early data。xray 的 websocket 支持,是否可以添加到 https://github.com/chika0801/sing-box-examples/blob/main/VMess-WebSocket-TLS/config_server.json ,如果没有安全性影响。
websocket 反向代理部分是否两个都必要,一个不够还原IP么?
这部分和
有没重复?重复是否会造成负面影响?
是否应该强制服务端支持AEAD加密算法
ssl_prefer_server_ciphers on;
http2 on;
注释里面也写到只有1.25.1后才支持此directive。是否应该默认用旧写法,考虑到大部分用户都非手动编译最新版nginx。
谢谢
The text was updated successfully, but these errors were encountered: