Sulla base di raccomandazioni , abbiamo recentemente tentato di rafforzare la nostra configurazione Nginx SSL contro Attacchi BEAST / CRIME / BREACH con la seguente stanza:
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:RC4-SHA;
Utilizziamo AWS Cloudfront per distribuire risorse statiche e utilizzare Nginx per servire i file come origine personalizzata. Tuttavia, dal momento che limitano i cifrari consentiti, le posizioni edge di Cloudfront non sono state in grado di negoziare connessioni sicure con Nginx.
Anche se non riesco a trovare da nessuna parte che AWS documenti i loro cifrari preferiti, discussione nei forum di AWS suggerisce che l'abilitazione del codice MD5 risolverà il problema.
Non essendo un esperto in materia, non sono del tutto sicuro di come integrare ciò che funziona per AWS con ciò che funziona per una configurazione sicura! Ho capito che MD5 è "salsa debole" come i codici vanno. Sarebbe accettabile abilitare il cifrario MD5 per le posizioni di risorse statiche di cui Cloudfront ha bisogno, e usare la stanza ssl_ciphers rafforzata per tutto il resto, oppure si apre una fessura nell'armatura?
Inoltre, quale sarebbe la formulazione corretta della stanza ssl_ciphers
essere?