<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Проверил на CentOS 6 и nginx-1.8.0 из репы <br><br># openssl s_client -ssl3 -connect 46.xxx.xxx.xxx:443 -servername <a href="http://www.example.net">www.example.net</a><br>...<br>New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA<br>Server public key is 4096 bit<br>Secure Renegotiation IS supported<br>Compression: NONE<br>Expansion: NONE<br>SSL-Session:<br>    Protocol  : SSLv3<br>    Cipher    : ECDHE-RSA-AES128-SHA<br><br># nginx -v<br>nginx version: nginx/1.8.0<br><br># nginx -V<br>nginx version: nginx/1.8.0<br>built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)<br>built with OpenSSL 1.0.1e-fips 11 Feb 2013<br>TLS SNI support enabled<br>configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_spdy_module --with-cc-opt='-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic'<br><br>server {<br>    listen       443;<br>    server_name  <a href="http://www.example.net">www.example.net</a>;<br><br>    ssl on;<br><br>    ssl_certificate      /etc/pki/nginx/www.example.net.pem;<br>    ssl_certificate_key  /etc/pki/nginx/www.example.net.key;<br>    ssl_dhparam          /etc/pki/nginx/dh2048.pem;<br><br>    ssl_prefer_server_ciphers   on;<br>    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv3;<br>    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:!RC4:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK';<br><br>    ssl_session_cache shared:SSL:1m;<br>    ssl_session_timeout  5m;<br><br>location / {<br>        proxy_pass <a href="http://127.0.0.1:8080">http://127.0.0.1:8080</a>;<br>        ...<br>    }<br><br>}<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-09-01 12:41 GMT+03:00 ekassir <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Здравствуйте, товарищи.<br>
<br>
Критичная проблема, не могу победить уже почти 4 дня. Прошу<br>
квалифицированной помощи.<br>
Nginx используется в качестве reverse-proxy.<br>
Столкнулся с проблемой отсутствия реакции Nginx на конкретные параметры<br>
конфига:<br>
<br>
Браузер подключается по TLSv1.2, тогда как в конфиге виртуального сервера<br>
указано, например:<br>
        ssl                     on;<br>
        ssl_protocols           SSLv3;<br>
        ssl_prefer_server_ciphers Off; # данный параметр также не влияет на<br>
доступность выбранного протокола<br>
<br>
Следующие проверки показывают доступность только TLSv1.1 и TLSv1.2, вне<br>
зависимости от того, какой конфиг прописан:<br>
1) <a href="https://www.ssllabs.com/ssltest/" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/</a><br>
2) openssl s_client -tls1_1 -connect hostname:443 < /dev/null<br>
3) sslyze --regular hostname<br>
<br>
Переопределения разрешённых протоколов на уровне nginx.conf нет.<br>
Для каждого проксируемого сервера прописываются свои параметры шифрования,<br>
файлы конфигов лежат в директории sites-enabled.<br>
Думал, что проблема в несовместимости с версией OpenSSL:<br>
"The TLSv1.1 and TLSv1.2 parameters are supported starting from versions<br>
1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on<br>
older nginx versions, these protocols work, but cannot be disabled."<br>
Собрал из исходников свежую версию. Не помогло.<br>
<br>
Вывод nginx -V<br>
<br>
nginx version: nginx/1.8.0<br>
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)<br>
built with OpenSSL 1.0.1e-fips 11 Feb 2013<br>
TLS SNI support enabled<br>
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx<br>
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log<br>
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid<br>
--lock-path=/var/run/nginx.lock<br>
--http-client-body-temp-path=/var/cache/nginx/client_temp<br>
--http-proxy-temp-path=/var/cache/nginx/proxy_temp<br>
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp<br>
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp<br>
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx<br>
--with-http_ssl_module --with-http_realip_module --with-http_addition_module<br>
--with-http_sub_module --with-http_dav_module --with-http_flv_module<br>
--with-http_mp4_module --with-http_gunzip_module<br>
--with-http_gzip_static_module --with-http_random_index_module<br>
--with-http_secure_link_module --with-http_stub_status_module<br>
--with-http_auth_request_module --with-mail --with-mail_ssl_module<br>
--with-file-aio --with-ipv6 --with-http_spdy_module --with-cc-opt='-O2 -g<br>
-pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector<br>
--param=ssp-buffer-size=4 -m64 -mtune=generic'<br>
<br>
<br>
Вывод openssl version:<br>
OpenSSL 1.0.1p 9 Jul 2015<br>
<br>
Posted at Nginx Forum: <a href="http://forum.nginx.org/read.php?21,261349,261349#msg-261349" rel="noreferrer" target="_blank">http://forum.nginx.org/read.php?21,261349,261349#msg-261349</a><br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div><br></div>