Не применятеся список разрешённых протоколов SSL.
ekassir
nginx-forum на nginx.us
Вт Сен 1 09:41:33 UTC 2015
Здравствуйте, товарищи.
Критичная проблема, не могу победить уже почти 4 дня. Прошу
квалифицированной помощи.
Nginx используется в качестве reverse-proxy.
Столкнулся с проблемой отсутствия реакции Nginx на конкретные параметры
конфига:
Браузер подключается по TLSv1.2, тогда как в конфиге виртуального сервера
указано, например:
ssl on;
ssl_protocols SSLv3;
ssl_prefer_server_ciphers Off; # данный параметр также не влияет на
доступность выбранного протокола
Следующие проверки показывают доступность только TLSv1.1 и TLSv1.2, вне
зависимости от того, какой конфиг прописан:
1) https://www.ssllabs.com/ssltest/
2) openssl s_client -tls1_1 -connect hostname:443 < /dev/null
3) sslyze --regular hostname
Переопределения разрешённых протоколов на уровне nginx.conf нет.
Для каждого проксируемого сервера прописываются свои параметры шифрования,
файлы конфигов лежат в директории sites-enabled.
Думал, что проблема в несовместимости с версией OpenSSL:
"The TLSv1.1 and TLSv1.2 parameters are supported starting from versions
1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on
older nginx versions, these protocols work, but cannot be disabled."
Собрал из исходников свежую версию. Не помогло.
Вывод nginx -V
nginx version: nginx/1.8.0
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid
--lock-path=/var/run/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx
--with-http_ssl_module --with-http_realip_module --with-http_addition_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module
--with-http_auth_request_module --with-mail --with-mail_ssl_module
--with-file-aio --with-ipv6 --with-http_spdy_module --with-cc-opt='-O2 -g
-pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector
--param=ssp-buffer-size=4 -m64 -mtune=generic'
Вывод openssl version:
OpenSSL 1.0.1p 9 Jul 2015
Posted at Nginx Forum: http://forum.nginx.org/read.php?21,261349,261349#msg-261349
Подробная информация о списке рассылки nginx-ru