diff --git a/nginx/snippets/ssl_params.conf b/nginx/snippets/ssl_params.conf index 1c9dce9..d2def43 100644 --- a/nginx/snippets/ssl_params.conf +++ b/nginx/snippets/ssl_params.conf @@ -1,12 +1,13 @@ # /etc/nginx/snippets/ssl_params.conf # # Parâmetros de SSL e segurança centralizados, otimizados e reutilizáveis. - # --- Configurações de Protocolo e Cifras --- # Permite apenas os protocolos TLS modernos e seguros. ssl_protocols TLSv1.2 TLSv1.3; + # Dá preferência às cifras do servidor, que nós definimos como seguras. ssl_prefer_server_ciphers on; + # Lista de cifras modernas, seguras e com boa performance. ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; @@ -14,22 +15,27 @@ ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECD # Cache de sessão para acelerar reconexões TLS. 50MB pode guardar ~200,000 sessões. ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; + # Desativa os 'session tickets' por segurança, favorecendo o 'session cache'. ssl_session_tickets off; + # Ativa o OCSP Stapling para acelerar a verificação de certificados. ssl_stapling on; ssl_stapling_verify on; + # Define os servidores DNS para a verificação do OCSP. resolver 172.16.254.253 172.16.254.251 172.16.254.252 valid=300s; resolver_timeout 5s; + # Aponta para o nosso ficheiro de parâmetros Diffie-Hellman para Perfect Forward Secrecy. ssl_dhparam /etc/ssl/certs/dhparam.pem; # --- Cabeçalhos HTTP de Segurança --- # Força o uso de HTTPS por 2 anos e inclui subdomínios. 'preload' permite a submissão para listas de HSTS dos navegadores. add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; + # Impede que o navegador tente interpretar MIME types incorretamente. add_header X-Content-Type-Options "nosniff" always; + # Protege contra ataques de 'clickjacking', impedindo que o site seja incorporado em iframes de outros domínios. add_header X-Frame-Options "SAMEORIGIN" always; -# O cabeçalho X-XSS-Protection foi removido por estar obsoleto e poder introduzir vulnerabilidades.