Nginx возвращается к sslv3

Question

Nginx возвращается к sslv3

Я использую nginx в качестве обратного прокси и пытаюсь отключить поддержку sslv3.
Я нашел разные ответы как здесь, так и на других сайтах. Все они предлагают все, что мне нужно сделать, это добавить что-то вроде следующего в блок http по умолчанию в моем nginx.conf

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4";
ssl_prefer_server_ciphers   on;

Я сделал это и даже попробовал этот полный конфиг с https://cipherli.st/

ssl_ciphers "AES128+EECDH:AES128+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver_timeout 5s;

Я по-прежнему получаю оценку "С" только в лабораториях SSL (независимо от внесенных изменений) по следующим причинам.

Этот сервер уязвим для атаки POODLE. Если возможно, отключите SSL 3 для смягчения. Оценка ограничена до C.
Этот сервер принимает шифр RC4, который является слабым. Оценка ограничена до B.

Я также перезапустил сервер, так что я знаю, что изменения конфигурации были применены.

nginx -v
Версия nginx: nginx / 1.9.0

/ и т.д. / вопрос
Ubuntu 14.04.2 LTS \n \l

версия openssl -a
OpenSSL 1.0.1f 6 января 2014 построен на: четверг 19 15:12:02 UTC 2015 платформа: debian-amd64 опции: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish Компилятор (idx): cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-размер-буфера -формат-буфера -формат-буфера безопасности -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-функции -Wl,-z,relro -wa, -noexecstack -Wall -DMD32_REG_T= INT -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"

Какие-либо предложения?

0

nginx reverse-proxy openssl ubuntu-14.04 poodle

Источник

Drifter104 08 май '15 в 11:53

1 ответ

Решение

Другие вопросы по тегам nginx reverse-proxy openssl ubuntu-14.04 poodle

Rob 08 май '15 в 12:06 2015-05-08 12:06 · Accepted Answer · 2015-05-08 12:06

Я считаю, что ваша версия OpenSSL является проблемой. Группа openssl рекомендует минимум версии 1.01j.

Также проверьте свой шифр. Разве не должно быть двоеточие раньше!RC4?

3

Источник

Rob 08 май '15 в 12:06