Search

GByte 24.07.2015 - 19:59

Anpassung der Cipher-Suite unter nginx

Wie bringe ich nginx eine kundenspezifische Cipher-Suite bei, so das sie einen Neustart übersteht?

Hintergrund: Unsere Box wurde hinter unserem Proxy-Server, der bis Dato die Zertifikats- und Cipher-Verwaltung übernommen hat, entfernt und nun mit eigener fester IP ans Internet (keine Angst, nur die Ports 80 und 443) angebunden.

Nun habe ich allerdings das Problem das zu viele cypher suiten unterstützt werden, unter anderen auch die Diffie-Hellman Algorithmen. Was ja aus bekannten Gründen nicht so erwünschenswert ist.

3 answers

micha 27.07.2015 - 11:23

Hallo gbyte,

Silvano hat hier beschrieben, wie man sogenannten local patches in unserer Lösung erstellen kann, um kundenspezifische Anpassungen umzusetzen.

Die nginx Konfiguration findest Du unter

/home/protonet/dashboard/current/config/nginx.conf 

Wir werden in Kürze (derzeit geplant für August) die Cypher-Suiten auch noch weiter anpassen. 
Falls ein persönliches Gespräch hiflt, lass uns das bitte wissen.

Herzliche Grüße
Micha
 

GByte 03.08.2015 - 17:44

Danke für den Wink wo die genutze Konfigurationsdatei liegt. Da hab ich tatsächlich an der falschen Stelle (globales Verzeichnis) gesucht.

Wenn Ihr noch etwas an den Cipher-Suiten schraubt ist das bestimmt eine feine Sache, auch wenn mir bewusst ist das Ihr, auf Grund der bevorzugten Verbreitung und der unterstützen Klienten, wahrscheinlich nicht so restriktiv an die Sache geht wie ich das machen würde/möchte.

Ein persönliches Gespräch sollten wir allerdings zeitnah ins Auge fassen … z.B. auch was Eure Anleitung zur Einbindung eignener SSL-Zertifikate angeht, sollten wir mal quatschen (ich schreib dazu erst mal bewusst nix in den entsprechenden Thread … nicht das andere Nutzer verunsichert werden) … bezüglich des unnötigen Anchor in der Zertifikats-Kette und der damit verbundenen erhöten Latenz.

Liebe Grüße,

gbyte

P.S.: der Hintergrund der gesamten Aktion war übrigens die Deaktivierung der DH primes um von der Nutzung der Allgemeinen Diffie-Hellman Primzahlen (Angang_1) zu einer nicht-Nutzung der Gleichen (Angang_2) zu kommen.

Silvano 04.08.2015 - 10:30

Hallo gbyte,

ich werde mich diesbezüglich telefonisch bei Dir melden.