Re: Выбор версии TLS в proxy_ssl_protocols

[Maxim Dounin]

Hello!

On Fri, Nov 16, 2018 at 03:33:41PM +0300, Evgeniy Berdnikov wrote:

> On Fri, Nov 16, 2018 at 02:23:52PM +0300, Maxim Dounin wrote:
> > Проблема в том, что в Debian на системном уровне запрещены 
> > протоколы меньше TLS 1.2.  Соответственно в вашей конфигурации 
> > оказываются запрещены вообще все протоколы - об этом и говорит 
> > ошибка "no protocols available".
> 
>  Действительно, изменение MinProtocol в системном конфиге openssl
>  решает проблему. Спасибо.
> 
> > Исправить это можно, обновившись на nginx 1.15.3+, где 
> > соответствующая проблема полечена на уровне nginx[1], либо же 
> > убрав ограничение в системном конфиге OpenSSL и/или задав для 
> > nginx'а отдельный конфиг, без соответствующего ограничения.
> 
>  Каким образом можно задать для nginx отдельный конфиг
>  без системного ограничения на версии TLS?

Конфиг для openssl, отличный от используемого по умолчанию, можно 
задать с помощью переменной окружения OPENSSL_CONF.

>  Предлагаю описание директив ssl_protocols и proxy_ssl_protocols
>  дополнить словами о том, что версия может быть ограничена в
>  системном конфиге openssl вплоть до некоторых версий nginx.
>  Хотя бы на сайте (в дистрибутивах с младшими версиями nginx
>  менять документацию уже поздно).

Как я уже писал ранее, начиная с версии 1.15.3 nginx умеет 
бороться с попытками ограничить протоколы через конфиг OpenSSL'я, 
а равно с аналогичными ограничениями, заданными на уровне 
библиотеки.

-- 
Maxim Dounin
http://mdounin.ru/