Nginx

Nginx sslv3 貴賓犬禁用

  • January 16, 2015

我嘗試在我的 nginx 中設置沒有 SSLv3 的 SSL 證書,但 SSL 實驗室說,我的伺服器有 SSLv3 如何禁用它。

我的配置:

   add_header Strict-Transport-Security max-age=31536000;
   add_header X-Frame-Options DENY;

   ssl_session_cache shared:SSL:10m;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
   ssl_prefer_server_ciphers on;
   add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';

這是一個很好的教程,如何使用最佳設置配置 nginx。

https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

您對 SSLv3 的配置是正確的。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

在文章中是您的密碼部分。

ssl_ciphers 'AES256+EECDH:AES256+EDH';

根據https://www.tinfoilsecurity.co … 或 ssllabs.com 的測試,我已經正確設置了我的 ssl_protocols 並且無法讓它禁用 SSLv3 。最終我發現

https://disablessl3.com/#test提到嘗試:

openssl s_client -connect <hostname:443> -ssl3

作為測試它的命令。當我這樣做時,我發現 nginx 使用另一個虛擬主機的 SSL 證書進行初始握手,而不是在這個特定虛擬主機中設置的證書。一旦我在所有使用 SSL 的虛擬主機中添加了 ssl_protocols 行,它就突然開始工作了。

引用自:https://serverfault.com/questions/641073