Não é possível passar varreduras PCI para conformidade de vulnerabilidade SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

Estou tentando passar uma varredura pci, estou no servidor Ubuntu 12.04 lts e Nginx. Eu tentei tudo o que sei e fiz muita pesquisa ... aparentemente parece que precisa desabilitar uma configuração no OpenSSL que não consigo encontrar como fazer.

Este é o resultado da verificação:

  

Vulnerabilidade de divulgação de informações de implementação de vetor de inicialização de protocolo SSL / TLS www (443 / tcp)

     

Pontuação do CVSS: média 4.3 - falha

     

CVE-2011-3389

e esta é a correção sugerida pela empresa de scanners pci:

  

Configure os servidores SSL / TLS para usar somente o TLS 1.1 ou o TLS 1.2, se suportado. Configurar servidores SSL / TLS para suportar apenas pacotes de criptografia que não usam cifras de bloco. Aplique patches se disponível.

     

O OpenSSL usa fragmentos vazios como uma contramedida, a menos que a opção 'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' seja especificada quando o OpenSSL for inicializado.

Eu não sei como fazer isso, eu tentei de tudo, por favor me ajude estou enlouquecendo:)

Como desabilito essa opção SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS ?

Nota: o tlsv1.1 e o tlsv1.2 não estão ativados no momento. Eu atualizei para as últimas versões de todos (Ubuntu 12.04 lts, nginx1.2.7 e openSSL 1.0.1). Eu li que as versões mais recentes cuidam do problema (o padrão não é suportado por padrão). Mas estou recebendo o mesmo relatório exato da verificação.

Veja abaixo a configuração do meu servidor web, eu fiz tudo o que tinha com cifras, ainda obtendo o mesmo resultado:

server {

    listen 192.xxx.xx.xx:443 ssl;

      server_name mydomain.org alias *.mydomain.org;

    keepalive_timeout   70;

    # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;

    ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

    ssl_prefer_server_ciphers on;

    ssl_protocols SSLv3 TLSv1.1 TLSv1.2;


    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;