nginx: Como registrar um erro de TLS (se cifras / protocolo não suportados)

Question

nginx: Como registrar um erro de TLS (se cifras / protocolo não suportados)

#1 resposta do (1 votos)

4

Estou no progresso de mudar para 100% https.
O servidor está executando nginx + libressl.

Antes de ir https: 100% Estou interessado em ver quais clientes não poderão mais se conectar ao meu site.
Por exemplo. Como eu não suporto SSL3.

Eu verifiquei o erro nginx e o log de acesso, mas nenhum contém informações valiosas se eu tentar conectar-me ao SSL3.

O que espero ver: por exemplo:

Client [IP]: Connection failed due to protocol/cipher mismatch.

Eu poderia, então, usar o registro de acesso / erro para isso e ver quantos clientes não podem mais acessar meu site.

Isso é possível?

Atual nginx.conf :

user                        www-data www-data;

pid                         /run/nginx.pid;

worker_processes            auto;
worker_rlimit_nofile        100000;

error_log                   /var/log/nginx/error.log;

events {
    worker_connections      2048;
    use                     epoll;
    multi_accept            on;
}

http {
    server_tokens           off;
    autoindex               off;
    charset                 UTF-8;

    include                 mime.types;
    default_type            application/octet-stream;

    log_format              main '$host - $remote_addr - $remote_user [$time_local] "$request" '
                                 '$status $body_bytes_sent "$http_referer" '
                                 '"$http_user_agent" "$http_x_forwarded_for"';
    access_log              /var/log/nginx/access.log main;

    keepalive_timeout       10;

    reset_timedout_connection   on;
    client_body_timeout         10;
    send_timeout                10;

    client_max_body_size    512k;

    sendfile                on;
    tcp_nopush              on;
    tcp_nodelay             on;

    server {
        listen              80;
        server_name         domain.com www.domain.com;
        return              301 https://www.domain.com$request_uri;
    }

    server {
        listen              443 ssl spdy;
        server_name         domain.com;

        include             conf.d/ssl.conf;

        return              301 https://www.domain.com$request_uri;
    }

    server {
        listen              443 ssl spdy;
        server_name         www.domain.com;
        root                /var/www/vhosts/domain.com/public_html;

        include             conf.d/ssl.conf;

        default_type        text/html;

        location / {
            return 200 'Hello World!';
        }
    }
}

conf.d/ssl.conf :

ssl                         on;

ssl_dhparam                 ssl/dhparam4096.pem;

ssl_session_cache           shared:SSL:10m;
ssl_session_timeout         10m;
ssl_buffer_size             1400;
spdy_headers_comp           6;
add_header                  Alternate-Protocol 443:npn-spdy/3;

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 "AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers   on;
ssl_ecdh_curve              secp384r1;

add_header                  X-Frame-Options DENY;
add_header                  X-Content-Type-Options nosniff;
add_header                  Strict-Transport-Security "max-age=31536000; includeSubDomains";

ssl_certificate             ssl/public.crt;
ssl_certificate_key         ssl/private.key;

ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     ssl/ca-certs.pem;
resolver                    8.8.8.8 valid=300s;
resolver_timeout            10s;

ssl tls openssl nginx

por Florian Schneider 26.04.2015 / 20:55

1 resposta

Tags ssl tls openssl nginx

Atualização do Windows 8.1 / Junção no local de trabalho do Server 2012 R2 requer uma conta da Microsoft? O WSUS, que é integrado ao SCCM, pode ser usado como um servidor upstream para o outro servidor WSUS de réplica?

score 1 · Answer 1

Não tenho certeza se você seria capaz de configurar o Nginx para registrar erros detalhados quando for feita uma conexão SSLv3. Mas você pode configurá-lo definitivamente para registrar todas as conexões SSL ou TLS e, em seguida, pode analisar as conexões do tipo SSLv3. Para fazer isso, você precisará adicionar a opção '$ssl_protocol ' à linha log_format em seu arquivo de configuração nginx.

No meu caso, por exemplo, eu tenho as seguintes linhas em /etc/nginx/nginx.conf -

...
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$ssl_protocol '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
...

Se eu fizer uma conexão SSLv3 usando curl -

daniel@localhost$ curl -k --sslv3 https://todo.home.net/login.php
curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Eu vejo as seguintes linhas em /var/log/nginx/access.log -

192.168.10.206 - - [26/Apr/2015:18:21:25 -0700] "GET HTTP/1.0" SSLv3 400 173 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:21:43 -0700] "GET HTTP/1.0 /login.php" SSLv3  400 173 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:22:56 -0700] "-" SSLv3  400 0 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:23:04 -0700] "-" SSLv3  400 0 "-" "-" "-"

Se você desabilitar o SSLv3 no servidor Nginx, você receberá um erro no lado do cliente -

E no lado do servidor, o arquivo de log conterá a versão do protocolo e um código HTTP de 400 , você pode usar essa informação para identificar os clientes que estão usando o SSLv3.