nginx parece estar ignorando a configuração de ssl_ciphers

1

Estou tentando restringir o nginx para evitar o uso de cifras que usam algoritmos DH para o Key Exchange.

Para forçar isso, eu configurei os ssl_ciphers para um único conjunto:

ssl_ciphers 'AES256-GCM-SHA384';

Depois de reiniciar o nginx, posso ver no log de acesso que ele ainda escolhe outras cifras (neste caso, DHE-RSA-AES128-GCM-SHA256):

10.162.10.235 [02/Feb/2017:15:09:09 +0000] "GET /images/favicon.ico HTTP/1.1" 200 0 "https://example.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" 0.001 - "" "DHE-RSA-AES128-GCM-SHA256" "TLSv1.2" "-" "xxx" "r" - -

Eu devo estar entendendo mal como essa diretiva ssl_ciphers funciona. Eu também tentei defini-lo como '! DH:! ECDH', mas parece que não é possível chegar a um acordo sobre uma cifra compatível.

Qual deve ser a configuração para forçar o uso de AES256-GMC-SHA384?

    
por kennbrodhagen 02.02.2017 / 16:25

1 resposta

0

Eu estava reiniciando o nginx, mas creio que estava apenas reiniciando o processo mestre e carregando a nova configuração nesse processo. Processos de trabalho exsitantes aparentemente ainda tinham a configuração antiga.

Eu estava reiniciando o nginx que causou o problema. Eu estava usando o comando:

service nginx restart 

Acontece que existem várias maneiras diferentes de forçar o nginx a recarregar sua configuração, mas a forma como o serviço foi configurado não estava usando nenhum desses métodos.

Para os meus propósitos, foi suficiente apenas parar o serviço e esperar por um minuto ou dois antes de iniciá-lo novamente.

    
por 04.02.2017 / 18:16

Tags