Nginx sslv3 пудель отключить

Question

Nginx sslv3 пудель отключить

Я попытался настроить SSL-сертификат без SSLv3 в моем nginx, но лаборатории SSL говорят, что на моем сервере есть SSLv3, как его отключить.

Мой конфиг:

    add_header Strict-Transport-Security max-age=31536000;
    add_header X-Frame-Options DENY;

    ssl_session_cache shared:SSL:10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
    ssl_prefer_server_ciphers on;
    add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';

4

nginx ssl ssl-certificate openssl poodle

Источник

Rinat Mukhamedgaliev 31 окт '14 в 07:44

3 ответа

Решение

Я правильно установил свой ssl_protocols и не смог заставить его отключить SSLv3 в соответствии с тестами https://www.tinfoilsecurity.co/... или ssllabs.com. В конце концов я обнаружил

https://disablessl3.com/ котором упоминается попытка:

openssl s_client -connect <hostname:443> -ssl3

как команда, чтобы проверить это с. Когда я это сделал, я обнаружил, что nginx использовал SSL-сертификат другого виртуального хоста для первоначального рукопожатия, а не тот, который установлен в этом конкретном виртуальном хосте. Как только я добавил в строку ssl_protocols во всех виртуальных хостах, которые используют SSL, он внезапно начал работать.

6

Источник

Daniel 16 янв '15 в 13:12

Отлично, я это исправлю! Это мой конфиг

ssl on;
ssl_ciphers 'AES256+EECDH:AES256+EDH::!EECDH+aRSA+RC4:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS';
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

ssl_prefer_server_ciphers on;

add_header Strict-Transport-Security max-age=63072000;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Моя оценка: введите описание здесь

2

Источник

Rinat Mukhamedgaliev 31 окт '14 в 10:28

Другие вопросы по тегам nginx ssl ssl-certificate openssl poodle

René Höhle 31 окт '14 в 08:40 2014-10-31 08:40 · Accepted Answer · 2014-10-31 08:40

Вот хороший учебник, как настроить nginx с лучшими настройками.

https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

Ваша конфигурация для SSLv3 верна.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

В посте есть раздел для ваших шифров.

ssl_ciphers 'AES256+EECDH:AES256+EDH';

6

Источник

René Höhle 31 окт '14 в 08:40