Я новичок в среде FreeBSD, я довольно привык к среде Linux.
Я создал тюрьму в FreeNAS 9.3 и установил nginx с поддержкой ssl, следуя нескольким онлайн-ресурсам (googled «freebsd jail nginx ssl» или что-то в этом роде), а также позволяет зашифровать сертификат. Я знаю, что есть более новая версия FreeNAS, основанная на FreeBSD 10, но я пока не могу обновить ее.
Все работает гладко, но мой рейтинг SSLLabs - C, потому что The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C.
В моем конфигурационном файле nginx включен TLSv1.2, и перезагрузка сервера не дает ошибок:
[...]
server {
listen 443 ssl;
#SSL
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_dhparam /usr/local/etc/ssl/dhparam.pem;
[...]
# service nginx reload
Performing sanity check on nginx configuration:
nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful
Может ли кто-нибудь указать мне на ошибку или на возможное решение? Спасибо
ОБНОВИТЬ:
после добрых комментариев @ Drifter104 и @Amiramix версия openssl - 0.9.8za и, похоже, не поддерживает TLSv1.2
Теперь, когда загадка раскрыта, мне нужно узнать, как установить дополнительные обновления openssl, спасибо
На исходный вопрос уже был дан ответ в комментариях.
OpenSSL 0.9.8za-freebsd не поддерживает TLS 1.2
Согласно freshports, вы можете обновить openssl из набора портов (например, с помощью pkg или portmaster).