joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-18 22:09:55

This commit is contained in:
srvproxy001.itguys.com.br 2025-09-18 22:09:55 -03:00
parent 4e0d7a5045
commit 588efc1046
1 changed files with 8 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

10
nginx/snippets/ssl_params.conf
View File

@ -1,12 +1,13 @@
# /etc/nginx/snippets/ssl_params.conf # /etc/nginx/snippets/ssl_params.conf
# #
# Parâmetros de SSL e segurança centralizados, otimizados e reutilizáveis. # Parâmetros de SSL e segurança centralizados, otimizados e reutilizáveis.
# --- Configurações de Protocolo e Cifras --- # --- Configurações de Protocolo e Cifras ---
# Permite apenas os protocolos TLS modernos e seguros. # Permite apenas os protocolos TLS modernos e seguros.
ssl_protocols TLSv1.2 TLSv1.3; ssl_protocols TLSv1.2 TLSv1.3;
# Dá preferência às cifras do servidor, que nós definimos como seguras. # Dá preferência às cifras do servidor, que nós definimos como seguras.
ssl_prefer_server_ciphers on; ssl_prefer_server_ciphers on;
# Lista de cifras modernas, seguras e com boa performance. # Lista de cifras modernas, seguras e com boa performance.
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
@ -14,22 +15,27 @@ ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECD
# Cache de sessão para acelerar reconexões TLS. 50MB pode guardar ~200,000 sessões. # Cache de sessão para acelerar reconexões TLS. 50MB pode guardar ~200,000 sessões.
ssl_session_cache shared:SSL:50m; ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d; ssl_session_timeout 1d;
# Desativa os 'session tickets' por segurança, favorecendo o 'session cache'. # Desativa os 'session tickets' por segurança, favorecendo o 'session cache'.
ssl_session_tickets off; ssl_session_tickets off;
# Ativa o OCSP Stapling para acelerar a verificação de certificados. # Ativa o OCSP Stapling para acelerar a verificação de certificados.
ssl_stapling on; ssl_stapling on;
ssl_stapling_verify on; ssl_stapling_verify on;
# Define os servidores DNS para a verificação do OCSP. # Define os servidores DNS para a verificação do OCSP.
resolver 172.16.254.253 172.16.254.251 172.16.254.252 valid=300s; resolver 172.16.254.253 172.16.254.251 172.16.254.252 valid=300s;
resolver_timeout 5s; resolver_timeout 5s;
# Aponta para o nosso ficheiro de parâmetros Diffie-Hellman para Perfect Forward Secrecy. # Aponta para o nosso ficheiro de parâmetros Diffie-Hellman para Perfect Forward Secrecy.
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_dhparam /etc/ssl/certs/dhparam.pem;
# --- Cabeçalhos HTTP de Segurança --- # --- Cabeçalhos HTTP de Segurança ---
# Força o uso de HTTPS por 2 anos e inclui subdomínios. 'preload' permite a submissão para listas de HSTS dos navegadores. # Força o uso de HTTPS por 2 anos e inclui subdomínios. 'preload' permite a submissão para listas de HSTS dos navegadores.
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
# Impede que o navegador tente interpretar MIME types incorretamente. # Impede que o navegador tente interpretar MIME types incorretamente.
add_header X-Content-Type-Options "nosniff" always; add_header X-Content-Type-Options "nosniff" always;
# Protege contra ataques de 'clickjacking', impedindo que o site seja incorporado em iframes de outros domínios. # Protege contra ataques de 'clickjacking', impedindo que o site seja incorporado em iframes de outros domínios.
add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Frame-Options "SAMEORIGIN" always;
# O cabeçalho X-XSS-Protection foi removido por estar obsoleto e poder introduzir vulnerabilidades.