:strip_icc():strip_exif()/u/10337/crop5814ad4bebe9a_cropped.jpeg?f=community)
ChaCha20 en Poly1305 zijn relatief nieuwe cipher suites. Steeds meer websites gebruiken deze om het HTTPS-verkeer mee te versleutelen.
Zoals je op https://vikingvpn.com/blo...out-chacha20-and-poly1305 kunt zien, is ook Google deze aan het pushen.
Nu wil ik op al mijn servers en HTTPS-sites natuurlijk ook deze ciphers actief hebben. Alles wordt er nog sneller van, met name mobiel verkeer en het kost nog minder rekenkracht aan beide kanten.
Hoe kan ik dit het beste doen?
Nu draai ik overal NGINX 1.7.5 met de nieuwste (officiële) OpenSSL 1.0.2 Beta 3. Deze heeft helaas niet die ciphers aan boord.
Ik weet dat BoringSSL deze wel aan boord heeft, maar die heeft weer geen OCSP-stapling. Dus dat is zonde, daarmee zou ik juist achteruit gaan in performance.
Dan is er wel een OpenSSL-fork die de ciphers heeft (OpenSSL 1.0.2-aead), maar die is al een jaar niet meer bijgewerkt. Geen kandidaat dus.
Alles compileer ik handmatig met de nieuwste Intel ICC compiler. Mijn CPU's hebben AES-NI support.
Hier mijn huidige results: https://www.ssllabs.com/s...html?d=hansvaneijsden.com
Na uitvoerig Googlen daarom hier mijn vraag: hoe implementeer ik ChaCha20 & Poly1305 op de best mogelijke manier?
Zoals je op https://vikingvpn.com/blo...out-chacha20-and-poly1305 kunt zien, is ook Google deze aan het pushen.
Nu wil ik op al mijn servers en HTTPS-sites natuurlijk ook deze ciphers actief hebben. Alles wordt er nog sneller van, met name mobiel verkeer en het kost nog minder rekenkracht aan beide kanten.
Hoe kan ik dit het beste doen?
Nu draai ik overal NGINX 1.7.5 met de nieuwste (officiële) OpenSSL 1.0.2 Beta 3. Deze heeft helaas niet die ciphers aan boord.
Ik weet dat BoringSSL deze wel aan boord heeft, maar die heeft weer geen OCSP-stapling. Dus dat is zonde, daarmee zou ik juist achteruit gaan in performance.
Dan is er wel een OpenSSL-fork die de ciphers heeft (OpenSSL 1.0.2-aead), maar die is al een jaar niet meer bijgewerkt. Geen kandidaat dus.
Alles compileer ik handmatig met de nieuwste Intel ICC compiler. Mijn CPU's hebben AES-NI support.
Hier mijn huidige results: https://www.ssllabs.com/s...html?d=hansvaneijsden.com
Na uitvoerig Googlen daarom hier mijn vraag: hoe implementeer ik ChaCha20 & Poly1305 op de best mogelijke manier?