EN
Perfect Forward Secrecy Nedir?
PFS, sunucunun private key'i ele geçirilse bile geçmiş SSL trafiğinin çözülememesini sağlayan güvenlik özelliğidir. Her oturum için benzersiz bir şifreleme anahtarı oluşturulur.
Nasıl Çalışır?
PFS, Diffie-Hellman anahtar değişimi kullanır. İki varyantı vardır:
- ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) - Önerilen
- DHE (Diffie-Hellman Ephemeral) - Daha yavaş
Yapılandırma
Nginx
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_ecdh_curve secp384r1;DH Parametreleri (DHE için)
# 4096-bit DH parametreleri oluşturun
openssl dhparam -out /etc/ssl/dhparam.pem 4096
# Nginx'e ekleyin
ssl_dhparam /etc/ssl/dhparam.pem;