Разбор TLS параметров в Nginx: Подробная инструкция по настройке TLS.
Рет қаралды 3,154
Күн бұрын
@andreycyber 2 ай бұрын
Удвительно, как можно сделать технический видос на 50 минут чтобы он не был душным. Респект, я подписался
@hoffmanmilo Ай бұрын
Отличное видео, очень подробное без воды. Много лет работаю разработчиком, узнал для себя много нового
@sysopslab Ай бұрын
Спасибо!
@AibatZhaisanov Ай бұрын
Добрый день! Спасибо! Давно такого не было. Удобное и краткое объяснения, главное без воды. Ждем Ваши следующие видео.
@sysopslab Ай бұрын
@@AibatZhaisanov спасибо!
@0xA1EF 2 ай бұрын
Отличное объяснение! Это как раз та тема, которую мало где объясняют и чаще всего бездумно копипастят. Огромное спасибо за разъяснение, если и остальные темы будут в таком же духе - моё почтение!
@sysopslab Ай бұрын
@@0xA1EF спасибо!
@saper44rus Ай бұрын
Вася, честно рады!
@КостяКаражев Ай бұрын
Сразу видно фаната звездных войн) по контенту как всегда - годно
@ivanbrykalov9955 Ай бұрын
Отличное видео, так держать! Подписка)
@8scarsboy 2 ай бұрын
Отличный старт Вася умеет держать внимание и отлично объяснять
@timashoff Ай бұрын
Отличный контент. спасибо!
@sysopslab Ай бұрын
@@timashoff спасибо!
@ttsrg Ай бұрын
сразу лайк , без всяких выепонав )
@kvazar_vl 2 ай бұрын
Хорошего старта! Ждем новых видео :-)
@АлександрРамодин-р4э Ай бұрын
Вася - знак качества.
@КумаровНиколай 2 ай бұрын
Очень годно, спасибо. Очень жду следующих видео. Я горжусь, что случайно наткнулся на это видео из линкдина. Успехов
@sysopslab 2 ай бұрын
Спасибо!
@Zeroxzed Ай бұрын
А в чём тут причина гордости?
@Zeroxzed Ай бұрын
Хорошая подача. Хоть вроде бы и знал большую часть материала, но всё равно почерпнул для себя новое.
@ttsrg Ай бұрын
очень полезный и специфичный контент
@JReli3z Ай бұрын
Круто, спасибо!
@maskon78 Ай бұрын
Отличный боевик!
@robotdemagog Ай бұрын
Отличное видео. Подписался на канал.
@sysopslab Ай бұрын
Спасибо!
@AshaGor 2 ай бұрын
Подписался, вдруг когда нибудь всё таки и я доросту до дев пупсика))
@Barm0leykin 2 ай бұрын
Ух ты! Специально ждал пока ютуб заблочат?))
@opusmode 2 ай бұрын
Слушай, ну спецы же сидят, ну кто им ютьюб заблокирует?
@sysopslab 2 ай бұрын
Подгадывал дату выхода :)
@Trogwar6678 Ай бұрын
Вася, давай только про серты не за 4 года, а раньше. Видео понравилось.
@sysopslab Ай бұрын
Пока планирую выпускать видос раз в две недели - так что дней через 10 должен быть новый видос :)
@Trogwar6678 Ай бұрын
@@sysopslab ждём!!!)
@IliaCult 2 ай бұрын
Вася топ! \m/
@Nodorgrom Ай бұрын
Спасибо за пересказ . Как всегда, максимум теории и минимум практики. Может кому-то будет и это полезно
@sysopslab Ай бұрын
Честно не знаю как сюда больше практики засунуть :) Но, думаю, что вам зайдет один из следующих роликов про развертывание кубера на железках с нуля.
@Zeroxzed Ай бұрын
Вся необходимая практика представлена. Не понятно, что тут ещё должно быть?
@opusmode 2 ай бұрын
Василий, ну немного боль. Какая версия nginx? Помнится с версии 1.25 писать в listen http дурной тон. Корректно, например, в секции http объявить "http2 on;" А в angie он вообще по дефолту включен, ибо пора слезать с ветки 0.9-1.1. Я понимаю, что видео о ssl и на него не влияет ни протокол, ни init.d, но как-то не особо аккуратно По 0-RTT - мешает как раз строчка ssl_ecdh_curve secp384r1; Если её закоментить, должно работать. Это бага nginx. Ну или фича
@sysopslab 2 ай бұрын
Хммм, по 0-rtt пробовал без нее - тоже не прокатило, ну да ладно :) По http2, вроде в доке - nginx.org/en/docs/http/ngx_http_core_module.html#listen - используется http2 в этой директиве :)
@semdevmaster Ай бұрын
Неплохо, но странно что ничего не сказали про kTLS в nginx, а это может дать ещё буста ко всему прочему
@sysopslab Ай бұрын
Да, в сценарии было про ktls, но потом убрали из-за объема :( Но ссылочку я таки закинул на ktls вот здесь - github.com/sysopslab/youtube/blob/main/tls-optimization/useful-links.md (11 пункт). Если будет интерес - можно будет сделать видос с бенчмарками по этому поводу :)
@sergeykorneev2281 2 ай бұрын
Вася, я ни чо не понимаю! Мне это надо?)
@sysopslab 2 ай бұрын
Да!
@IliaCult 2 ай бұрын
и Васян не лысый!!! :)
@gav2801 2 ай бұрын
надолго ли 😂
@sysopslab 2 ай бұрын
Узнаем в следующих выпусках)
@Zeroxzed Ай бұрын
Все мы ПОКА или ЕЩЁ не лысые.
@ttsrg Ай бұрын
хоть Васян и красява
@AsomirL 2 ай бұрын
Вася, дорогой, запили видос про то, как уменьшить Docker image и какие есть инструменты для этого
@opusmode 2 ай бұрын
Самый простой docker slim. Но я бы не рекомендов его юзать. В остальном - просто не плодите ненужные слои. Удаляйте мусор до завершения инструкции. Ну и собирайте свои базовые. Я вот сел, насобирал себе, получил весьма приличные образы. Типа под пыху с юнитом и всем нужным 350 мб на бубунде. Можно на альпине и ещё ужаться, но там гемора больше. Просто потратьте чуть времени на анализ. Иногда можно взять нужный образ и сделать мультистейдж - выпилить в первом шаге всё лишнее а потом FROM scratch COPY --link --from= и вот вам чистенькй новый образ.
@sysopslab Ай бұрын
Да, про docker и сборку обязательно будет.
@ttsrg Ай бұрын
но 5 лет как прошло , а секас-шоп все еще не запущен ;)
@sysopslab Ай бұрын
🤫🤫🤫
@XDSid1333 Ай бұрын
18:55 - категорически нельзя так делать, там же один и тот же файл, он не перегенерируется. потенциальная дыра
@sysopslab Ай бұрын
Да, действительно в финальную версию не попала моя рекомендация использовать локальный openssl dhparam, хотя этот способ я упомянаю. По поводу dhparam от мозилла примерно такая информация: 1. Есть обсуждение этого вопроса в issues github.com/mozilla/ssl-config-generator/issues/60. Общий вывод такой - Mozilla предлагает кастомные dhparam для размеров меньше 2048, а для 2048 делает общий dhparam: ``` We recommend generating your own parameters for sizes less than 2048 (as you'll see if you select "Old"), but we use the standard FFDHE parameters for 2048. They are more compatible, and there aren't concerns about their security. ``` То есть это осознанное решение шарить общий dhparam, потому что они считают что взломать его не становится легче от того что он общий: ``` no, custom parameters are not needed, the only time when they are appropriate is when you need compatibility with systems that don't support parameters bigger than 1024 bit. With emphasis on need, as they are not secure any more ``` 2. Mozilla ссылается на следующий документ: weakdh.org/imperfect-forward-secrecy-ccs15.pdf, где в секции 5 говорится: "Precomputation for a 2048-bit non-trapdoored group is around 10^9 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major algorithmic improvement." То есть логика такая - 2048 достаточно для того чтобы протокол оставался защищенным до момента его улучшения. 3. У мозиллы действительно этот файл не обновлялся лет 5 - github.com/mozilla/ssl-config-generator/blob/master/src/static/ffdhe2048.txt Короче вывод такой - действительно стоит использовать `openssl dhparam` и генерировать его локально. Но насчет категоричности я бы поспорил :)
@XDSid1333 Ай бұрын
@@sysopslab ⠀⠀⠀⠀⢀⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⣴⡾⠿⣿⣿⣿⣶⣤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⣼⣿⣦⣤⣿⣿⣿⣿⣿⣿⣷⣤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠐⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⢹⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⣣⣾⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠟⣩⣾⡿⢃⣼⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠈⠻⣿⣿⣿⣿⠿⢟⣩⣴⣿⡿⢋⣴⣿⣿⣿⣿⣆⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⢴⣶⣾⣿⠿⢛⣡⣶⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠉⠩⣴⣶⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣄⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣶⣦⣤⣤⣤⣤⣀⡀⠀⠀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣧⡀⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⠀⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣇⠀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡀⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠙⠿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣤⣍⡛⠿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡆⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣴⣿⣿⣿⣿⠂⣾⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣠⣾⣿⣿⣿⣿⠇⣸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣰⣿⣿⣿⣿⣿⡿⢠⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢠⣿⣿⣿⣿⣿⣿⡇⢸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⣿⣿⣿⣿⣿⣿⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⢿⣿⣿⣿⣿⣿⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠇ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⠛⠻⠛⠛⠀⢻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠃⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⠿⣿⣿⣿⣿⣿⣿⣿⠿⠋⠀⠀⠀ ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠉⠉⠀⠀⠀⠀⠀⠀⠀
Иван Гончаров
Рет қаралды 92 М.
TheSimplySpace
Рет қаралды 22 М.
zerodaily
Рет қаралды 317 М.