Я не могу заставить TLS_FALLBACK_SCSV работать при тестировании на SSLabs, удерживая меня от пятерки рейтинг.
Кажется, это проблема libssl, а не конфигурации nginx. Я обновился до OpenSSL 1.0.1k 8 января 2015 года, но все равно не работает. (Также отключили SSLv2 / 3.)
Чего не хватает?
Для предотвращения уязвимости не требуется никаких обновлений. Просто отказ от соединений через SSLv3 - быстрое решение.
Поместите следующие строки в свой файл конфигурации или замените любую существующую строку, начинающуюся с ssl_protocols:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'AES128+EECDH:AES128+EDH';
Затем запустите: $ sudo service nginx restart
Ты можешь тест запущенная команда $ openssl s_client -connect <host>:<port> -ssl3