Что это такое?

Это комплексный параметр для оценки требований к безопасности, включая длину ключей, разрешённые шифры и т.п.

Зачем это нужно?

Для установки всех ограничений безопасности более-менее согласованным образом с помощью одного параметра.

Как это настроить?

Значение данного параметра последовательно отсекает слабые ключи, протоколы, наборы шифров и т.п.:

0

Разрешено всё.

1

Запрещены ключи RSA, DSA и DH короче 1024 бит и ключи ECC короче 160 бит. Запрещены все слабые шифры (разрешённые законодательством США к экспорту в недостаточно демократические страны). Запрещён SSL v2. Запрещены все комбинации шифров с аутентификацией MD5.

2

Запрещены ключи RSA, DSA и DH короче 2048 бит и ключи ECC короче 224 бит. В дополнение к ограничениям уровня 1, запрещены все шифры на основе RC4. Запрещён SSL v3. Отключено сжатие.

3

Запрещены ключи RSA, DSA и DH короче 3072 бит и ключи ECC короче 256 бит. Запрещены наборы шифров, не обеспечивающие упреждающую безопасность (forward secrecy). Запрещены версии TLS ниже 1.1. Отключены сессионные билеты (session tickets).

4

Запрещены ключи RSA, DSA и DH короче 7680 бит и ключи ECC короче 384 бит. Запрещены все комбинации шифров с аутентификацией SHA1. Запрещены версии TLS ниже 1.2.

5

Запрещены ключи RSA, DSA и DH короче 15360 бит и ключи ECC короче 512 бит.

Данный параметр используется в сочетании с ciphers, sslVersion и другими ограничениями, которые могут быть установлены с помощью options и extra-options. Из всех указанных ограничений берутся наиболее жёсткие.

ВНИМАНИЕ! Рекомендуемое значение для работы в современных сетях общего пользования — 2. В данном ПО, по умолчанию, установлено значение 1, чтобы не нарушить совместимость с существующими инсталляциями и настройками. (Например, с ключом HTTPS, который был автоматически сгенерирован при установке устройства в эксплуатацию несколько лет назад, с актуальными на то время требованиями к его длине.) Настоятельно рекомендуется, после обновления с версий ранее 2.1.3, проинспектировать существующие настройки всех туннелей stunnel на устройстве NSG и на противоположной стороне туннеля, убедиться, что они соответствуют уровню безопасности не ниже 2, при необходимости — обновить их (сгенерировать более длинные ключи и т.п.), и после этого установить значение 2.

Для устройств NSG при обновлении ПО с версии ниже 2.1.3 до данной версии рекомендуется обновить ключ HTTPS в любом случае. Это ничем не грозит, кроме необходимости один раз принять в броузере новый сертификат. После этого можно поднять уровень безопасности до 2, если это не грозит нарушением работы остальных туннелей.

Что делать, если это не работает?

1. Проверить, все ли настройки существующих туннелей (в т.ч. туннеля ~HTTPS~, который создаётся автоматически для управления по https) соответствуют выбранному уровню безопасности.
2. Смотреть журнал stunnel. Если что-то в записях журнала не понятно, обратиться в службу технической поддержки NSG.