Я использую nginx в качестве обратного прокси и пытаюсь отключить поддержку sslv3.
Я нашел разные ответы как здесь, так и на других сайтах. Все они предлагают все, что мне нужно сделать, это добавить что-то вроде следующего в блок http по умолчанию в моем nginx.conf
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4";
ssl_prefer_server_ciphers on;
Я сделал это и даже попробовал эту полную конфигурацию из https://cipherli.st/
ssl_ciphers "AES128+EECDH:AES128+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver_timeout 5s;
Я по-прежнему получаю оценку «C» в SSL Labs (независимо от внесенных мной изменений) по следующим причинам
Этот сервер уязвим для атаки POODLE. Если возможно, отключите SSL 3 для смягчения последствий. Оценка ограничена C.
Этот сервер принимает шифр RC4, который является слабым. Оценка ограничена до B.
Я также перезапустил сервер, поэтому знаю, что изменения конфигурации были применены.
nginx -v
версия nginx: nginx / 1.9.0
/ etc / issue
Ubuntu 14.04.2 LTS \ n \ l
версия openssl -a
OpenSSL 1.0.1f, 6 января 2014 г., построено на: четверг, 19 марта, 15:12:02 UTC 2015 платформа: параметры debian-amd64: bn (64,64) rc4 (16x, int) des (idx, cisc, 16, int) blowfish (idx) компилятор: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param = ssp -form-size-size = безопасности -D_FORTIFY_SOURCE = 2 -Wl, -Bsymbolic-функции -Wl, -z, relro -wa, - noexecstack -Wall -DMD32_REG_T = INT -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM - DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/ usr / lib / ssl"
Какие-либо предложения?
Я считаю, что проблема в вашей версии openssl. Группа openssl рекомендует минимум версии 1.01j.
Также проверьте свой шифр. Разве раньше не должно быть двоеточия! RC4?