Я только что столкнулся с той же проблемой. Основная проблема описана здесь: https://weakdh.org/
Насколько я понимаю, большинство веб-серверов запускают Diffie-Hellman с одним и тем же набором простых чисел по умолчанию, и позже это было признано недостатком безопасности. Исправление заключается в создании новых простых чисел для согласования ключей Диффи-Хеллмана на вашем сайте. Подробности на этой странице: https://weakdh.org/sysadmin.html
Короче говоря, запустите openssl dhparam -out dhparams.pem 2048
, а затем добавьте путь к полученному файлу в блок конфигурации вашего сервера nginx:
ssl_dhparam {path to dhparams.pem};
Например, я поставил свой в /etc/letsencrypt
, поэтому я побежал
sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048
и добавил
ssl_dhparam /etc/letsencrypt/dhparams.pem;
под другими строками конфигурации Certbot в моем блоке сервера.
После перезапуска nginx с sudo service nginx restart
я получил пятерку на ssllabs.com.
Надеюсь, это поможет.
person
remcycles
schedule
15.01.2018