Отличное объяснение! Это как раз та тема, которую мало где объясняют и чаще всего бездумно копипастят. Огромное спасибо за разъяснение, если и остальные темы будут в таком же духе - моё почтение!
Да, в сценарии было про ktls, но потом убрали из-за объема :( Но ссылочку я таки закинул на ktls вот здесь - github.com/sysopslab/youtube/blob/main/tls-optimization/useful-links.md (11 пункт). Если будет интерес - можно будет сделать видос с бенчмарками по этому поводу :)
Василий, ну немного боль. Какая версия nginx? Помнится с версии 1.25 писать в listen http дурной тон. Корректно, например, в секции http объявить "http2 on;" А в angie он вообще по дефолту включен, ибо пора слезать с ветки 0.9-1.1. Я понимаю, что видео о ssl и на него не влияет ни протокол, ни init.d, но как-то не особо аккуратно По 0-RTT - мешает как раз строчка ssl_ecdh_curve secp384r1; Если её закоментить, должно работать. Это бага nginx. Ну или фича
Хммм, по 0-rtt пробовал без нее - тоже не прокатило, ну да ладно :) По http2, вроде в доке - nginx.org/en/docs/http/ngx_http_core_module.html#listen - используется http2 в этой директиве :)
Самый простой docker slim. Но я бы не рекомендов его юзать. В остальном - просто не плодите ненужные слои. Удаляйте мусор до завершения инструкции. Ну и собирайте свои базовые. Я вот сел, насобирал себе, получил весьма приличные образы. Типа под пыху с юнитом и всем нужным 350 мб на бубунде. Можно на альпине и ещё ужаться, но там гемора больше. Просто потратьте чуть времени на анализ. Иногда можно взять нужный образ и сделать мультистейдж - выпилить в первом шаге всё лишнее а потом FROM scratch COPY --link --from= и вот вам чистенькй новый образ.
Да, действительно в финальную версию не попала моя рекомендация использовать локальный openssl dhparam, хотя этот способ я упомянаю. По поводу dhparam от мозилла примерно такая информация: 1. Есть обсуждение этого вопроса в issues github.com/mozilla/ssl-config-generator/issues/60. Общий вывод такой - Mozilla предлагает кастомные dhparam для размеров меньше 2048, а для 2048 делает общий dhparam: ``` We recommend generating your own parameters for sizes less than 2048 (as you'll see if you select "Old"), but we use the standard FFDHE parameters for 2048. They are more compatible, and there aren't concerns about their security. ``` То есть это осознанное решение шарить общий dhparam, потому что они считают что взломать его не становится легче от того что он общий: ``` no, custom parameters are not needed, the only time when they are appropriate is when you need compatibility with systems that don't support parameters bigger than 1024 bit. With emphasis on need, as they are not secure any more ``` 2. Mozilla ссылается на следующий документ: weakdh.org/imperfect-forward-secrecy-ccs15.pdf, где в секции 5 говорится: "Precomputation for a 2048-bit non-trapdoored group is around 10^9 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major algorithmic improvement." То есть логика такая - 2048 достаточно для того чтобы протокол оставался защищенным до момента его улучшения. 3. У мозиллы действительно этот файл не обновлялся лет 5 - github.com/mozilla/ssl-config-generator/blob/master/src/static/ffdhe2048.txt Короче вывод такой - действительно стоит использовать `openssl dhparam` и генерировать его локально. Но насчет категоричности я бы поспорил :)
Удвительно, как можно сделать технический видос на 50 минут чтобы он не был душным. Респект, я подписался
Сразу видно фаната звездных войн) по контенту как всегда - годно
Отличное видео, очень подробное без воды. Много лет работаю разработчиком, узнал для себя много нового
Спасибо!
Добрый день! Спасибо! Давно такого не было. Удобное и краткое объяснения, главное без воды. Ждем Ваши следующие видео.
@@AibatZhaisanov спасибо!
Вася, честно рады!
Отличное видео, так держать! Подписка)
Отличное объяснение! Это как раз та тема, которую мало где объясняют и чаще всего бездумно копипастят. Огромное спасибо за разъяснение, если и остальные темы будут в таком же духе - моё почтение!
@@0xA1EF спасибо!
Отличный старт
Вася умеет держать внимание и отлично объяснять
Вася - знак качества.
сразу лайк , без всяких выепонав )
Отличный контент. спасибо!
@@timashoff спасибо!
Отличный боевик!
Круто, спасибо!
Хорошего старта!
Ждем новых видео :-)
Хорошая подача. Хоть вроде бы и знал большую часть материала, но всё равно почерпнул для себя новое.
Очень годно, спасибо. Очень жду следующих видео. Я горжусь, что случайно наткнулся на это видео из линкдина. Успехов
Спасибо!
А в чём тут причина гордости?
очень полезный и специфичный контент
Отличное видео. Подписался на канал.
Спасибо!
Ух ты! Специально ждал пока ютуб заблочат?))
Слушай, ну спецы же сидят, ну кто им ютьюб заблокирует?
Подгадывал дату выхода :)
Вася, давай только про серты не за 4 года, а раньше. Видео понравилось.
Пока планирую выпускать видос раз в две недели - так что дней через 10 должен быть новый видос :)
@@sysopslab ждём!!!)
Подписался, вдруг когда нибудь всё таки и я доросту до дев пупсика))
хоть Васян и красява
Вася топ! \m/
Неплохо, но странно что ничего не сказали про kTLS в nginx, а это может дать ещё буста ко всему прочему
Да, в сценарии было про ktls, но потом убрали из-за объема :( Но ссылочку я таки закинул на ktls вот здесь - github.com/sysopslab/youtube/blob/main/tls-optimization/useful-links.md (11 пункт).
Если будет интерес - можно будет сделать видос с бенчмарками по этому поводу :)
Василий, ну немного боль.
Какая версия nginx? Помнится с версии 1.25 писать в listen http дурной тон. Корректно, например, в секции http объявить "http2 on;" А в angie он вообще по дефолту включен, ибо пора слезать с ветки 0.9-1.1.
Я понимаю, что видео о ssl и на него не влияет ни протокол, ни init.d, но как-то не особо аккуратно
По 0-RTT - мешает как раз строчка ssl_ecdh_curve secp384r1;
Если её закоментить, должно работать. Это бага nginx. Ну или фича
Хммм, по 0-rtt пробовал без нее - тоже не прокатило, ну да ладно :)
По http2, вроде в доке - nginx.org/en/docs/http/ngx_http_core_module.html#listen - используется http2 в этой директиве :)
Спасибо за пересказ . Как всегда, максимум теории и минимум практики. Может кому-то будет и это полезно
Честно не знаю как сюда больше практики засунуть :) Но, думаю, что вам зайдет один из следующих роликов про развертывание кубера на железках с нуля.
Вся необходимая практика представлена. Не понятно, что тут ещё должно быть?
Вася, я ни чо не понимаю! Мне это надо?)
Да!
но 5 лет как прошло , а секас-шоп все еще не запущен ;)
🤫🤫🤫
Вася, дорогой, запили видос про то, как уменьшить Docker image и какие есть инструменты для этого
Самый простой docker slim. Но я бы не рекомендов его юзать.
В остальном - просто не плодите ненужные слои. Удаляйте мусор до завершения инструкции. Ну и собирайте свои базовые. Я вот сел, насобирал себе, получил весьма приличные образы. Типа под пыху с юнитом и всем нужным 350 мб на бубунде. Можно на альпине и ещё ужаться, но там гемора больше. Просто потратьте чуть времени на анализ. Иногда можно взять нужный образ и сделать мультистейдж - выпилить в первом шаге всё лишнее а потом FROM scratch COPY --link --from= и вот вам чистенькй новый образ.
Да, про docker и сборку обязательно будет.
18:55 - категорически нельзя так делать, там же один и тот же файл, он не перегенерируется. потенциальная дыра
Да, действительно в финальную версию не попала моя рекомендация использовать локальный openssl dhparam, хотя этот способ я упомянаю.
По поводу dhparam от мозилла примерно такая информация:
1. Есть обсуждение этого вопроса в issues github.com/mozilla/ssl-config-generator/issues/60. Общий вывод такой - Mozilla предлагает кастомные dhparam для размеров меньше 2048, а для 2048 делает общий dhparam:
```
We recommend generating your own parameters for sizes less than 2048 (as you'll see if you select "Old"), but we use the standard FFDHE parameters for 2048. They are more compatible, and there aren't concerns about their security.
```
То есть это осознанное решение шарить общий dhparam, потому что они считают что взломать его не становится легче от того что он общий:
```
no, custom parameters are not needed, the only time when they are appropriate is when you need compatibility with systems that don't support parameters bigger than 1024 bit. With emphasis on need, as they are not secure any more
```
2. Mozilla ссылается на следующий документ: weakdh.org/imperfect-forward-secrecy-ccs15.pdf, где в секции 5 говорится: "Precomputation for a 2048-bit non-trapdoored group is around 10^9 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major algorithmic improvement."
То есть логика такая - 2048 достаточно для того чтобы протокол оставался защищенным до момента его улучшения.
3. У мозиллы действительно этот файл не обновлялся лет 5 - github.com/mozilla/ssl-config-generator/blob/master/src/static/ffdhe2048.txt
Короче вывод такой - действительно стоит использовать `openssl dhparam` и генерировать его локально. Но насчет категоричности я бы поспорил :)
@@sysopslab
⠀⠀⠀⠀⢀⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⣴⡾⠿⣿⣿⣿⣶⣤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⣼⣿⣦⣤⣿⣿⣿⣿⣿⣿⣷⣤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠐⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⢹⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⣣⣾⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠟⣩⣾⡿⢃⣼⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠈⠻⣿⣿⣿⣿⠿⢟⣩⣴⣿⡿⢋⣴⣿⣿⣿⣿⣆⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⢴⣶⣾⣿⠿⢛⣡⣶⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠉⠩⣴⣶⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣦⣄⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣶⣦⣤⣤⣤⣤⣀⡀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣧⡀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣇⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠙⠿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣤⣍⡛⠿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡆⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣴⣿⣿⣿⣿⠂⣾⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣷⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣠⣾⣿⣿⣿⣿⠇⣸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣰⣿⣿⣿⣿⣿⡿⢠⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢠⣿⣿⣿⣿⣿⣿⡇⢸⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⣿⣿⣿⣿⣿⣿⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⢿⣿⣿⣿⣿⣿⠀⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠇
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⠛⠻⠛⠛⠀⢻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠃⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠛⠿⣿⣿⣿⣿⣿⣿⣿⠿⠋⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠉⠉⠀⠀⠀⠀⠀⠀⠀
и Васян не лысый!!! :)
надолго ли 😂
Узнаем в следующих выпусках)
Все мы ПОКА или ЕЩЁ не лысые.