42 lines
1.8 KiB
Plaintext
42 lines
1.8 KiB
Plaintext
# /etc/nginx/snippets/ssl_params.conf
|
|
#
|
|
# Parâmetros de SSL e segurança centralizados, otimizados e reutilizáveis.
|
|
# --- Configurações de Protocolo e Cifras ---
|
|
# Permite apenas os protocolos TLS modernos e seguros.
|
|
ssl_protocols TLSv1.2 TLSv1.3;
|
|
|
|
# Dá preferência às cifras do servidor, que nós definimos como seguras.
|
|
ssl_prefer_server_ciphers on;
|
|
|
|
# Lista de cifras modernas, seguras e com boa performance.
|
|
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
|
|
|
|
# --- Configurações de Sessão e Performance ---
|
|
# Cache de sessão para acelerar reconexões TLS. 50MB pode guardar ~200,000 sessões.
|
|
#ssl_session_cache shared:SSL:50m;
|
|
ssl_session_timeout 1d;
|
|
|
|
# Desativa os 'session tickets' por segurança, favorecendo o 'session cache'.
|
|
ssl_session_tickets off;
|
|
|
|
# Ativa o OCSP Stapling para acelerar a verificação de certificados.
|
|
#ssl_stapling on;
|
|
#ssl_stapling_verify on;
|
|
|
|
# Define os servidores DNS para a verificação do OCSP.
|
|
resolver 1.0.0.1 8.8.8.8 1.1.1.1 8.8.4.4 valid=300s;
|
|
resolver_timeout 15s;
|
|
|
|
# Aponta para o nosso ficheiro de parâmetros Diffie-Hellman para Perfect Forward Secrecy.
|
|
ssl_dhparam /etc/ssl/certs/dhparam.pem;
|
|
|
|
# --- Cabeçalhos HTTP de Segurança ---
|
|
# Força o uso de HTTPS por 2 anos e inclui subdomínios. 'preload' permite a submissão para listas de HSTS dos navegadores.
|
|
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
|
|
|
|
# Impede que o navegador tente interpretar MIME types incorretamente.
|
|
#add_header X-Content-Type-Options "nosniff" always;
|
|
|
|
# Protege contra ataques de 'clickjacking', impedindo que o site seja incorporado em iframes de outros domínios.
|
|
#add_header X-Frame-Options "SAMEORIGIN" always;
|