Не применятеся список разрешённых протоколов SSL.

ekassir nginx-forum на nginx.us
Вт Сен 1 09:41:33 UTC 2015 

Здравствуйте, товарищи.

Критичная проблема, не могу победить уже почти 4 дня. Прошу
квалифицированной помощи.
Nginx используется в качестве reverse-proxy.
Столкнулся с проблемой отсутствия реакции Nginx на конкретные параметры
конфига:

Браузер подключается по TLSv1.2, тогда как в конфиге виртуального сервера
указано, например: 
        ssl                     on;
        ssl_protocols           SSLv3;
        ssl_prefer_server_ciphers Off; # данный параметр также не влияет на
доступность выбранного протокола

Следующие проверки показывают доступность только TLSv1.1 и TLSv1.2, вне
зависимости от того, какой конфиг прописан:
1) https://www.ssllabs.com/ssltest/
2) openssl s_client -tls1_1 -connect hostname:443 < /dev/null
3) sslyze --regular hostname

Переопределения разрешённых протоколов на уровне nginx.conf нет.
Для каждого проксируемого сервера прописываются свои параметры шифрования,
файлы конфигов лежат в директории sites-enabled.
Думал, что проблема в несовместимости с версией OpenSSL:
"The TLSv1.1 and TLSv1.2 parameters are supported starting from versions
1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on
older nginx versions, these protocols work, but cannot be disabled."
Собрал из исходников свежую версию. Не помогло.

Вывод nginx -V

nginx version: nginx/1.8.0
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid
--lock-path=/var/run/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx
--with-http_ssl_module --with-http_realip_module --with-http_addition_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module
--with-http_auth_request_module --with-mail --with-mail_ssl_module
--with-file-aio --with-ipv6 --with-http_spdy_module --with-cc-opt='-O2 -g
-pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector
--param=ssp-buffer-size=4 -m64 -mtune=generic'


Вывод openssl version:
OpenSSL 1.0.1p 9 Jul 2015

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,261349,261349#msg-261349

Подробная информация о списке рассылки nginx-ru