Acabei de atualizar o Debian de "stable" 9. * para "testing" 10. *.
Ter o nginx 1.14 - usado para vir de "backports estáveis" agora incluídos no próprio Debian.
Vendo um problema estranho com versões TLS no nginx.
O TLS 1.3 está ativado e o 1.2 também, mas parece que não consigo obter o TLS 1.0 / 1.1, mesmo que estejam incluídos nas configurações do nginx.
Ah, e a propósito, o Dovecot rodando no mesmo sistema ainda tem o TLS 1.0 - 1.1 - 1.2 - 1.3 totalmente funcional:
bits relevantes da configuração do site nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers kECDHE+CHACHA20:kECDHE+AESGCM:kDHE+AESGCM:kECDHE+AES+SHA:kDHE+AES+SHA:!AESCCM:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
Eu tentei remover ssl_protocols ou ssl_ciphers ou ambos, nada mudou realmente.
Esta é uma mudança intencional no nginx-upstream ou como empacotada pelo Debian? Uma mudança no próprio openssl?
De qualquer forma, posso ativar todas as versões do TLS de 1.0 e até 1.3 no nginx ao mesmo tempo?
Oh, uma nota sobre o Dovecot ... Eu estou rodando a versão do repositório, não do Debian, e é para o Debian "estável" e não "testando" e provavelmente foi ligado ao OpenSSL 1.1 sem o suporte a TLS 1.3. / p>
Ele tem um caminho diferente (do nginx) para especificar versões do TLS:
ssl_min_protocol = TLSv1
que antes de atualizar o Debian resolveu para 1.0 / 1.1 / 1.2 e agora resolve para 1.0 - 1.3 inclusive.
Pergunto se existe uma maneira de especificar os protocolos nginx da mesma maneira (e qual me levaria a todos os TLS 1.0 - 1.3).
Tenho uma resposta nos fóruns do nginx:
Versão resumida:
Edite /etc/ssl/openssl.conf
Faça esta alteração
[system_default_sect]
-MinProtocol = TLSv1.2
+MinProtocol = TLSv1
CipherString = DEFAULT@SECLEVEL=2
Isso altera o protocolo mínimo ativado padrão do sistema do TLS 1.2 para 1.0.