Know-How

SSL/TLS konfigurace — bezpečné HTTPS

7 min čtení

SecuritySSLTLSHTTPS

Ne každá TLS konfigurace je bezpečná. TLS 1.0 a 1.1 jsou deprecated, některé cipher suites jsou slabé.

Doporučená konfigurace — Nginx

ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; ssl_prefer_server_ciphers off; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_stapling on; ssl_stapling_verify on;

Testování

# SSL Labs: ssllabs.com/ssltest/ openssl s_client -connect example.com:443 -tls1_3 testssl.sh https://example.com

Co NIKDY nepoužívat

SSL 2.0, 3.0, TLS 1.0, 1.1
RC4, 3DES, NULL ciphers
Self-signed v produkci

Klíčový takeaway

TLS 1.2 minimum, TLS 1.3 ideál. AEAD cipher suites, OCSP stapling, testujte na SSL Labs.

CORE SYSTEMS tým

Praktické know-how z reálných projektů. Bez buzzwordů, s kódem.