Como desabilitar o TLS v1.1 no Nginx [closed]

Question

Como desabilitar o TLS v1.1 no Nginx [closed]

Navegue suas respostas

#1 resposta do (1 votos)

2

Parece ser uma configuração simples, mas não consigo desabilitar o TLSv1.1.

nginx.conf em / etc / nginx:

ssl_protocols TLSv1.2;

Configuração do domínio last_nginx.conf (alterado através dos templates do Plesk em nginxDomainVirtualHost.php):

ssl_protocols                TLSv1.2;    
ssl_ciphers                 ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!SRP:!CAMELLIA;

ssl_prefer_server_ciphers   on;
ssl_dhparam /etc/nginx/ssl/server.dh_pem;

Ainda o TLSv1.1 está habilitado e, quando testado com o openssl retorna isso:

openssl s_client -tls1_1 -connect mydomain.com:443 < /dev/null

    New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: E298E87276A0776AF736439AF260FE0F92B17330ED97D5F3C2F87CF02C3F75A8

O que estou perdendo aqui? Por que o TLSv1.1 ainda está ativado, embora apenas TLSv1.2 tenha sido especificado?

Alguma sugestão de como desabilitar o TLSv1.1?

Obrigado!

ssl nginx cipher

por user2723490 08.03.2018 / 07:19

1 resposta

Tags ssl nginx cipher

ansible: reunir fatos em uma tarefa? Active Directory: LDAP sobre SSL entre dois domínios

score 1 · Accepted Answer

Isso é especulação já que você não postou sua configuração totalmente (sanitizada), mas provavelmente está usando um bloco listen compartilhado em vários servidores. Embora a sintaxe de configuração pareça possível, na verdade, você não pode ter especificações de codificação diferentes em server blocos que compartilham o mesmo listen .

Mais especificamente:

server {
   listen 443 ssl;
   server_name tls.example.com;
}

server {
   listen 443 ssl;
   server_name tls12.example.com;
   ssl_protocols TLSv1.2;
}

Se você fosse curl tls12.example.com, aqui você descobriria que ele tem suporte 1.1. No entanto, se você adicionar a mesma restrição ao tls.example.com server , somente o 1.2 será suportado.

A única correção real é usar um IP dedicado para a restrição ou garantir que todos os blocos server para essa combinação (ip, port) tenham as mesmas configurações de criptografia SSL.

Nota lateral: A discussão acima também se aplica à ativação / desativação de HTTP / 2.