1 votes

woany avatar

Configurer Nginx pour qu'il prenne en charge les clients qui ont besoin de paramètres DH de 1024 ou moins sans affaiblir la sécurité pour tous les autres ?

Demandé el 22 de Mars, 2017
Quand la question a-t-elle été
1349 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

L'outil web d'un tiers qui accède à notre serveur web semble utiliser Java 6, qui ne prend pas en charge les paramètres DH > 1024 bits. Il ne peut pas se connecter à notre serveur parce que notre fichier dhparams est réglé sur 4096 bits.

Dans Nginx, le fichier dhparams est défini dans nginx.conf à l'aide de l'outil ssl_dhparam paramètre.

On peut supposer que si nous régénérons le fichier dhparams.pem avec 1024 bits, cela affaiblira la sécurité pour tout le monde.

Existe-t-il un moyen de permettre à cet ancien client de se connecter avec des dhparams de 1024 bits, tout en utilisant 4096 pour tous les autres ? Pour compliquer les choses, il semble que Java 6 ne supporte pas le SNI.

Existe-t-il une bonne façon de gérer cette situation ?

Demandé el 22 de Mars, 2017 par woany

Réponse

Trop de publicités?

2voto

Steffen Ullrich avatar
Steffen Ullrich Points 11972

Le client n'annonce pas, lors de la poignée de main, la force de la clé DH qu'il prend en charge, de sorte que le serveur ne peut pas utiliser une clé DH différente pour des clients différents. Mais la clé DH n'est utilisée que si des algorithmes de chiffrement DH sont utilisés. Les clients modernes préfèrent ECDHE et si votre nginx accepte cette préférence, le handshake n'utilisera pas du tout le paramètre DH puisqu'il n'effectuera pas un échange de clés DHE mais un échange de clés ECDHE. Pour des exemples de configuration qui préfèrent ECDHE, voir https://mozilla.github.io/server-side-tls/ssl-config-generator/ .

Quant aux clients sans SNI, ils utiliseront simplement l'hôte par défaut configuré dans nginx. Ainsi, si vous disposez d'un certificat adéquat qui correspond à tous les noms que le client non-SNI pourrait utiliser pour se connecter à votre serveur, cela devrait fonctionner.

Répondu el 22 de Mars, 2017 par Steffen Ullrich (11972 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X