Базовый современный TLS-конфиг для Nginx: TLS 1.2/1.3, HSTS, OCSP stapling и безопасные заголовки.
Версия методики: 0.1. Последнее обновление: 12.05.2026.
Вернуться к проверке
Базовый пример
- ssl_protocols TLSv1.2 TLSv1.3;
- ssl_prefer_server_ciphers off;
- ssl_session_cache shared:SSL:10m;
- ssl_session_timeout 1d;
- add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Что проверить после включения
- Сертификат должен содержать все нужные домены в SAN.
- HTTP должен редиректить на HTTPS без длинной цепочки редиректов.
- TLS 1.0, TLS 1.1, SSLv2 и SSLv3 должны быть отключены.
- HSTS с includeSubDomains включайте только если все поддомены готовы к HTTPS.
Осторожно с копированием
- Не вставляйте конфиг вслепую на production: сначала проверьте staging или непиковое окно.
- Если сайт стоит за CDN или балансировщиком, TLS может завершаться не на Nginx, а выше по цепочке.
- После изменения конфигурации запустите nginx -t, reload и повторную проверку в TLS Audit.