我正在调查我们平台的 FIPS 合规性。 nginx 是组件之一,我们使用 nginx 1.15.1。我找到了有关 nginx 的文档以及符合 FIPS 的文档。
When NGINX Plus is executed on an operating system where a FIPS‑validated OpenSSL cryptographic module is present and FIPS mode is enabled, NGINX Plus is compliant with FIPS 140-2 with respect to the decryption and encryption of SSL/TLS and HTTP/2 traffic.
https://docs.nginx.com/nginx/fips-compliance-nginx-plus/
这也适用于开源 nginx 吗?我没有找到开源版本的任何文档。我也在 nginx 论坛中发布了查询,但也请在此处检查,以防人们已经对开源版本进行了 FIPS 合规性检查。
最佳答案
根据这篇博客文章,这不是“不”,而是“我们无法确定”(强调我的):
NGINX tests and verifies that NGINX Plus operates correctly when it is run on a FIPS‑enabled OS that is running in FIPS mode. NGINX cannot make similar statements for NGINX Open Source...
https://www.nginx.com/blog/achieving-fips-compliance-nginx-plus/#FIPS-Compliance-with-NGINX-Open-Source
他们不能为您编译的操作系统或您用于构建的标志声明。 OpenSSL 构建中有很多事情要做。
https://wiki.openssl.org/index.php/Compilation_and_Installation
与“可信路径”或“验证”构建步骤的任何偏差都可能使您的安装无效。
https://www.openssl.org/docs/fips/UserGuide-2.0.pdf
关于nginx - Nginx 是否符合开源 FIPS 标准?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62560562/