Как получить описание «Этот сервер предпочитает ChaCha20» в тесте SSL Labs с Let's Encrypt и Nginx?

Question

Я обнаружил, что в "Отчете SSL: google.com"
(P) This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices)
Я пытался поставить все шифры chacha20 в начале,не работает.
Затем я попытался отсортировать шифры так же, как отчет, и он тоже не сработал.
Как отсортировать шифры или настроить nginx для его получения?

Answer 1

Скорее всего, вы используете версию nginx, которая не поддерживает эти шифры.

Nginx использует шифры, реализованные в OpenSSL, а Chacha20 была реализована только в OpenSSL 1.0.2 так что версия nginx, которую вы установили, вероятно, использует версию OpenSSL, которая не поддерживает эти шифры.Например, nginx-extras 1.10.3 использует libssl1.0.0, поэтому он не поддерживает Chacha20.

Вы можете установить версию nginx, которая поддерживает более новую версию OpenSSL,или соберите nginx вручную, чтобы включить такую ​​поддержку, как показано в этой статье .

Answer 2

Используйте boringssl для компиляции nginx.
Boringssl имеет Equal preference cipher groups
Установите шифры, как показано ниже, вы можете их получить.
ciphers [ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]

Cloudflare cdn services также может сделать это Cloudflare sslconfig