После настройки letsencrypt для моего сервера, который использует nginx для обслуживания веб-сайтов, он создает следующие строки в файле конфигурации моего домена:
listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/redacted.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/redacted.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
Итак, один из моих сайтов требует TLSv1 из-за какого-то старого приложения для Android. Но в конфигурации по умолчанию, указанной letsencrypt, ее нет.
Затем я закомментировал include строку выше, скопировал содержимое в options-ssl-nginx.conf файл и изменен ssl_protocols включить TLSv1.
listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/redacted.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/redacted.com/privkey.pem; # managed by Certbot
#include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1440m;
ssl_protocols TLSv1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";
Однако после перезапуска / перезагрузки nginx сервер игнорирует изменения, которые я сделал выше, и продолжает не поддерживать TLSv1.
Если я отредактирую options-ssl-nginx.conf файл для включения TLSv1, он работает. Но все остальные сайты затронуты, и я хочу, чтобы он был применен только к 1 сайту. И всякий раз, когда сертификаты SSL обновляются автоматически, изменения в этом файле также удаляются.