
<div dir="ltr">See this ticket: <a href="https://trac.nginx.org/nginx/ticket/844">https://trac.nginx.org/nginx/ticket/844</a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 2, 2021 at 9:05 AM Alfred Sawaya <<a href="mailto:alfred@huji.fr">alfred@huji.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Sorry, don't bother.<br>

<br>

It is because the default value is inherited from the http block.<br>

<br>

And if the ssl_protocols is not specified in the http block, then the<br>

default value is to enable TLS 1, 1.1 and 1.2<br>

<br>

<br>

Maybe it would be more natural to no inherit for this directive if it is<br>

specified in an underlying block.<br>

<br>

<br>

Alfred<br>

<br>

<br>

On 02/07/2021 18:00, Alfred Sawaya wrote:<br>

> Hello,<br>

><br>

><br>

> I am trying to configure an nginx that can accept only one ssl<br>

> protocols. In order to do that, I tried to set ssl_protocols to only one<br>

> protocol, but it does not work.<br>

><br>

> The server always accept all TLS versions.<br>

><br>

><br>

> I found that in the source code :<br>

><br>

> src/http/modules/ngx_http_ssl_module.c : 673<br>

><br>

>     ngx_conf_merge_bitmask_value(conf->protocols, prev->protocols,<br>

>                          (NGX_CONF_BITMASK_SET|NGX_SSL_TLSv1<br>

>                           |NGX_SSL_TLSv1_1|NGX_SSL_TLSv1_2));<br>

><br>

><br>

> So nginx seems to always activate TLS 1, 1.1 and 1.2. It should rather<br>

> respect the directive ssl_protocls, shouldn't it ?<br>

><br>

> Why it is not :<br>

><br>

> ngx_conf_merge_bitmask_value(conf->protocols, prev->protocols,<br>

>                          (NGX_CONF_BITMASK_SET));<br>

><br>

> With a if juste before calling nginx_ssl_create to set conf->protocols<br>

> to NGX_SSL_TLSv1 | NGX_SSL_TLSv1_1 | NGX_SSL_TLSv1_2, only if<br>

> conf->protocols == 0 ?<br>

><br>

><br>

> (I also tried to use ssl_conf_command with MinProtocol and MaxProtocol,<br>

> it does not work either...)<br>

><br>

><br>

> Thank you,<br>

><br>

> Alfred<br>

><br>

_______________________________________________<br>

nginx-devel mailing list<br>

<a href="mailto:nginx-devel@nginx.org" target="_blank">nginx-devel@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a></blockquote></div>