Eu tenho um arquivo global de opções SSL, que está incluído em cada bloco de servidor.
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
ssl_dhparam /etc/letsencrypt/dhparam4096.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
gzip off;
Portanto, cada servidor é executado no TLSv1.2, mas há um servidor no qual também quero executar o TLSv1 e o TLSv1.1.
Mas quando executo a configuração com:
ssl_protocols TLSv1 TLSv1.1;
include "above mentioned config file";
e
include "above mentioned config file";
ssl_protocols TLSv1 TLSv1.1;
Mas ao executar o comando:
nmap --script ssl-enum-ciphers -p 443
Em seguida, ele mostra apenas o TLSv1.2, mas não o TLSv1 nem o TLSv1.1. Existe alguma maneira de substituir a diretiva ssl_protocols? Em caso afirmativo, posso mover a inclusão para o bloco http?
Tags nginx