Re: Выбор версии TLS в proxy_ssl_protocols

[Evgeniy Berdnikov]

  Добрый день.
  
On Fri, Nov 16, 2018 at 02:23:52PM +0300, Maxim Dounin wrote:
> Проблема в том, что в Debian на системном уровне запрещены 
> протоколы меньше TLS 1.2.  Соответственно в вашей конфигурации 
> оказываются запрещены вообще все протоколы - об этом и говорит 
> ошибка "no protocols available".

 Действительно, изменение MinProtocol в системном конфиге openssl
 решает проблему. Спасибо.

> Исправить это можно, обновившись на nginx 1.15.3+, где 
> соответствующая проблема полечена на уровне nginx[1], либо же 
> убрав ограничение в системном конфиге OpenSSL и/или задав для 
> nginx'а отдельный конфиг, без соответствующего ограничения.

 Каким образом можно задать для nginx отдельный конфиг
 без системного ограничения на версии TLS?

 Предлагаю описание директив ssl_protocols и proxy_ssl_protocols
 дополнить словами о том, что версия может быть ограничена в
 системном конфиге openssl вплоть до некоторых версий nginx.
 Хотя бы на сайте (в дистрибутивах с младшими версиями nginx
 менять документацию уже поздно).
-- 
 Eugene Berdnikov