Cómo implementar el secreto directo perfecto SSL en un servidor web NGINX

Primero, es posible que necesites acceder al directorio de configuración de NGINX:

cd /etc/nginx/

Necesitamos generar parámetros Diffie-Hellman con suficiente seguridad. Algunos creen que 4096 bits es demasiado largo y supone una carga innecesaria para el procesador del sistema, pero con la potencia informática actual, parece que vale la pena intentarlo. Consulte la sección "Referencias" a continuación para obtener más información.

openssl dhparam -out dh4096.pem 4096

Sería muy conveniente si este archivo de configuración para la tarea actual pudiera dividirse en un archivo de inclusión, esto haría más fácil lograr la perfección; secreto de avance en un gran número de sistemas.

vi /etc/nginx/perfect-forward-secrecy.conf

Pegue lo siguiente en el archivo anterior:

ssl_protocols TLSv1 TLSv1.1 TLSv1 2. ;

ssl_prefer_ server_ciphers on;

ssl_ciphers "EECDH ECDSA AESGCM EECDH aRSA AESGCM EECDH ECDSA SHA384\

EECDH ECDSA SHA256 EECDH aRSA SHA384 EECDH aRSA SHA256 EECDH aRSA RC4 \

EECDH aRSA RC4 ! aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";

ssl_dhparam dh4096.pem;

ssl_dhparam dh4096.pem