nginx não pode desativar o SSLv3 [duplicado]

Question

nginx não pode desativar o SSLv3 [duplicado]

#1 resposta do (2 votos)

3

Estou com um problema ao tentar desativar o SSLv3 na minha instalação do nginx.

O HTTPS funciona bem, mas parece que não consigo desativar o SSLv3 e isso torna meu site vulnerável ao ataque POODLE. Além disso, por algum motivo, a conexão é criptografada em 128 bits em vez de 256 bits, embora eu tenha um certificado de 256 bits.

Versão do Nginx: 1.6.2

Veja o que eu digitei no meu bloco de servidor no site que queria usar:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers On;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

Obrigado!

ssl nginx

por Sven 31.10.2014 / 15:01

1 resposta

Tags ssl nginx

o pipe de email para o programa causa problemas com caracteres unicode? Inicialização dolorosamente lenta do Nessus

score 2 · Accepted Answer

1. Desativando o SSLv3

A única linha que você precisa usar para fazer o nginx parar de usar é a primeira, ou seja,

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Se você ainda vê o nginx usando o SSLv3, provavelmente a sua nova configuração não foi aplicada.

Use nginx -t para testar sua configuração e recarregue o serviço usando:

service nginx reload

ou envie um sinal SIGHUP para o processo mestre nginx.

Para verificar se não ocorreu nenhum erro e que o recarregamento da configuração aconteceu sem falhas, monitore seu principal error_log (aquele definido no nível mais alto, normalmente main ) de perto. Erros aparecerão se algo estiver errado (isto é, devido a certificados SSL ou qualquer coisa não detectável no momento da validação da configuração)

2. Cifras

As cifras não têm nada a ver com o tamanho da sua chave. Eles são negociados entre o cliente e o servidor para escolher conjuntos de cifras com suporte comum a fim de executar as 4 partes do protocolo SSL em que os resumos / hashes / assinaturas são necessários.

Diferentes qualidades de diferentes conjuntos de cifras se adaptam melhor a determinadas etapas do que a outras.

Mais informações sobre pacotes de criptografia estão disponíveis no @Wikipedia .