Priorizar TLSv1.2 em nginx conf ssl_protocols

A versão de protocolo mais alta suportada por ambas as extremidades da conexão será usada. Portanto, por padrão, o TLS v1.2 será usado.

A razão pela qual você precisa desativar protocolos incrivelmente inseguros como o SSLv2 / 3 é devido a ataques de downgrade; um intermediário pode modificar a negociação de conexão SSL para forçar o uso de um protocolo menos seguro. Não há nada que você possa fazer sobre isso, exceto para não suportar os protocolos mais antigos, porque você nunca é informado de que a outra extremidade suporta uma melhor (porque o intermediário malicioso removeu essa informação).

é o padrão, sua regra de servidor especifica que os protocolos ssl estão configurados para suportar aqueles fora da caixa:

• não queremos usar SSLv2 (inseguro) ou SSLv3 (explorável)

  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

A menos que você tenha uma razão específica para acreditar de outra forma, geralmente os sistemas que suportam o TLS suportariam TSLv1.2.

Então, se possível, eu usaria:

ssl_protocols TLSv1.2

Se isso não for possível, eu usaria:

ssl_protocols TLSv1.2 TLSv1.1

TLSv1 também pode ser usado no segundo caso (no lugar das versões mais específicas), mas dessa forma, você garante a ordem de preferência. Eu meio que presumo que o TLSv1 normalmente preferiria 1.2 sobre 1.1, mas ser explícito sobre isso não pode doer.

Veja Gerador de configuração TLS da Mozilla para um conjunto de recomendações sobre o seu mais geral Configuração de TLS.