<div dir="ltr">See this ticket: <a href="https://trac.nginx.org/nginx/ticket/844">https://trac.nginx.org/nginx/ticket/844</a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 2, 2021 at 9:05 AM Alfred Sawaya <<a href="mailto:alfred@huji.fr">alfred@huji.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Sorry, don't bother.<br>
<br>
It is because the default value is inherited from the http block.<br>
<br>
And if the ssl_protocols is not specified in the http block, then the<br>
default value is to enable TLS 1, 1.1 and 1.2<br>
<br>
<br>
Maybe it would be more natural to no inherit for this directive if it is<br>
specified in an underlying block.<br>
<br>
<br>
Alfred<br>
<br>
<br>
On 02/07/2021 18:00, Alfred Sawaya wrote:<br>
> Hello,<br>
><br>
><br>
> I am trying to configure an nginx that can accept only one ssl<br>
> protocols. In order to do that, I tried to set ssl_protocols to only one<br>
> protocol, but it does not work.<br>
><br>
> The server always accept all TLS versions.<br>
><br>
><br>
> I found that in the source code :<br>
><br>
> src/http/modules/ngx_http_ssl_module.c : 673<br>
><br>
>     ngx_conf_merge_bitmask_value(conf->protocols, prev->protocols,<br>
>                          (NGX_CONF_BITMASK_SET|NGX_SSL_TLSv1<br>
>                           |NGX_SSL_TLSv1_1|NGX_SSL_TLSv1_2));<br>
><br>
><br>
> So nginx seems to always activate TLS 1, 1.1 and 1.2. It should rather<br>
> respect the directive ssl_protocls, shouldn't it ?<br>
><br>
> Why it is not :<br>
><br>
> ngx_conf_merge_bitmask_value(conf->protocols, prev->protocols,<br>
>                          (NGX_CONF_BITMASK_SET));<br>
><br>
> With a if juste before calling nginx_ssl_create to set conf->protocols<br>
> to NGX_SSL_TLSv1 | NGX_SSL_TLSv1_1 | NGX_SSL_TLSv1_2, only if<br>
> conf->protocols == 0 ?<br>
><br>
><br>
> (I also tried to use ssl_conf_command with MinProtocol and MaxProtocol,<br>
> it does not work either...)<br>
><br>
><br>
> Thank you,<br>
><br>
> Alfred<br>
><br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org" target="_blank">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a></blockquote></div>