Para um site meu ( link ) eu queria configurar uma configuração HTTPS decente que também suportaria o TLS versão 1.2. A maioria dos navegadores modernos suportam isso agora. Então eu gerou um certificado com o StartSSL. Tudo menos o Nignx 1.8.0-1 + trusty1 vem dos repositórios oficiais. O Nginx foi instalado a partir do Launchpad ( link ). O OpenSSL versão 1.0.1f-1ubuntu2.15 também deve estar bem.
A parte relevante da configuração do Nginx tem esta aparência:
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
Verificar o site com o link indica que o TLS1.2 não é suportado. Eu tentei várias outras combinações de criptografia, mas nada funcionou. A lista de códigos do link não funcionará.
Por meio do bate-papo, descobrimos que todas as configurações de site, exceto uma, tinham ssl_protocols TLSv1; em suas configurações. Apenas um tinha ssl_protocols TLSv1 TLSv1.1 TLSv1.2; na configuração do site. Removemos todos eles e tivemos /etc/nginx/nginx.conf definido com ssl_protocols TLSv1 TLSv1.1 TLSv1.2; , o que parece ter resolvido seus problemas.