Tanto quanto eu sei, o HTTP / 2 usa apenas TLS1.2 e acima. Você pode encontrar mais informações na RFC 7540
relevanteEu tenho um servidor Ubuntu 18.04.1 executando o PHP 5.6 com o Forge on Digital Ocean. Eu estou tentando ativar TLSv1 e TLSv1.1 para um site. Então eu editei minha configuração do NGINX para incluí-los:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Reiniciou o NGINX e fez uma verificação com:
openssl s_client -host mydomain.co.uk -port 443 -tls1
que retorna:
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Start Time: 1537432315
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
Por isso, tentei criar um novo certificado com Let's Encrypt in Forge e o ativei, reiniciei o NGINX e verifiquei novamente o que retornou a mesma resposta.
Qualquer ideia, não tenho certeza do que estou perdendo para que isso funcione.
Editar: Configuração completa do NGINX:
# FORGE CONFIG (DO NOT REMOVE!)
include forge-conf/www.mydomain.co.uk/before/*;
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name www.mydomain.co.uk;
root /home/forge/www.mydomain.co.uk/public;
# FORGE SSL (DO NOT REMOVE!)
ssl_certificate /etc/nginx/ssl/www.mydomain.co.uk/414422/server.crt;
ssl_certificate_key /etc/nginx/ssl/www.mydomain.co.uk/414422/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers LONG-CIPHER-IS-HERE;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/dhparams.pem;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
index index.html index.htm index.php;
charset utf-8;
# FORGE CONFIG (DO NOT REMOVE!)
include forge-conf/www.mydomain.co.uk/server/*;
location / {
try_files $uri $uri/ /index.php?$query_string;
}
location = /favicon.ico { access_log off; log_not_found off; }
location = /robots.txt { access_log off; log_not_found off; }
access_log off;
error_log /var/log/nginx/www.mydomain.co.uk-error.log error;
#error_page 404 /index.php;
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php/php5.6-fpm.sock;
fastcgi_index index.php;
include fastcgi_params;
}
location ~ /\.(?!well-known).* {
deny all;
}
}
# FORGE CONFIG (DO NOT REMOVE!)
include forge-conf/www.mydomain.co.uk/after/*;
Tanto quanto eu sei, o HTTP / 2 usa apenas TLS1.2 e acima. Você pode encontrar mais informações na RFC 7540
relevanteEntão foi devido às cifras sendo usadas. Veja a resposta aqui: link
Eu usei o Gerador de configuração SSL do Mozilla para criar a codificação correta para ele trabalhar e testar com SSL Labs
Tags ssl openssl nginx ubuntu ssl-certificate