Nginx sslv3 poodle disable

3

Eu tentei configurar SSL cert sem SSLv3 no meu nginx, mas SSL Labs diz, meu servidor tem SSLv3 como desabilitá-lo.

Minha configuração:

    add_header Strict-Transport-Security max-age=31536000;
    add_header X-Frame-Options DENY;

    ssl_session_cache shared:SSL:10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
    ssl_prefer_server_ciphers on;
    add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';
    
por Rinat Mukhamedgaliev 31.10.2014 / 08:44

3 respostas

6

Aqui está um bom tutorial sobre como configurar o nginx com as melhores configurações.

link

Sua configuração para o SSLv3 está correta.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Na postagem, há uma seção para suas cifras.

ssl_ciphers 'AES256+EECDH:AES256+EDH';
    
por 31.10.2014 / 09:40
6

Eu configurei meus ssl_protocols corretamente e não consegui desabilitar o SSLv3, de acordo com o link ... ou o ssllabs.com testes. Eventualmente eu descobri

link que menciona a tentativa:

openssl s_client -connect <hostname:443> -ssl3

como o comando para testá-lo. Quando fiz isso, descobri que o nginx estava usando o certificado SSL de outro host virtual para o handshake inicial, em vez do configurado neste virtualhost específico. Uma vez que eu adicionei na linha ssl_protocols em todos os virtualhosts que usam SSL, de repente começou a funcionar.

    
por 16.01.2015 / 14:12
2

Ótimo eu conserto! Esta é minha configuração

ssl on;
ssl_ciphers 'AES256+EECDH:AES256+EDH::!EECDH+aRSA+RC4:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS';
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

ssl_prefer_server_ciphers on;

add_header Strict-Transport-Security max-age=63072000;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Minha nota:

    
por 31.10.2014 / 11:28