Назад | Перейти на главную страницу

nginx: как регистрировать ошибку TLS (если неподдерживаемые шифры / протокол)

Я в процессе перехода на 100% https.
На сервере работает nginx + libressl.

Прежде чем перейти на https: 100%, мне интересно узнать, какие клиенты больше не смогут подключаться к моему сайту.
Например. Поскольку я не поддерживаю SSL3.

Я проверил журнал ошибок и доступа nginx, но ни один из них не содержит ценной информации, если я попытаюсь подключиться с помощью SSL3.

Что я ожидаю увидеть: например:

Client [IP]: Connection failed due to protocol/cipher mismatch.

Затем я смогу найти для этого журналы доступа / ошибок и посмотреть, сколько клиентов больше не могут получить доступ к моему сайту.

Это возможно?

Текущий nginx.conf:

user                        www-data www-data;

pid                         /run/nginx.pid;

worker_processes            auto;
worker_rlimit_nofile        100000;

error_log                   /var/log/nginx/error.log;

events {
    worker_connections      2048;
    use                     epoll;
    multi_accept            on;
}

http {
    server_tokens           off;
    autoindex               off;
    charset                 UTF-8;

    include                 mime.types;
    default_type            application/octet-stream;

    log_format              main '$host - $remote_addr - $remote_user [$time_local] "$request" '
                                 '$status $body_bytes_sent "$http_referer" '
                                 '"$http_user_agent" "$http_x_forwarded_for"';
    access_log              /var/log/nginx/access.log main;

    keepalive_timeout       10;

    reset_timedout_connection   on;
    client_body_timeout         10;
    send_timeout                10;

    client_max_body_size    512k;

    sendfile                on;
    tcp_nopush              on;
    tcp_nodelay             on;

    server {
        listen              80;
        server_name         domain.com www.domain.com;
        return              301 https://www.domain.com$request_uri;
    }

    server {
        listen              443 ssl spdy;
        server_name         domain.com;

        include             conf.d/ssl.conf;

        return              301 https://www.domain.com$request_uri;
    }

    server {
        listen              443 ssl spdy;
        server_name         www.domain.com;
        root                /var/www/vhosts/domain.com/public_html;

        include             conf.d/ssl.conf;

        default_type        text/html;

        location / {
            return 200 'Hello World!';
        }
    }
}

conf.d/ssl.conf:

ssl                         on;

ssl_dhparam                 ssl/dhparam4096.pem;

ssl_session_cache           shared:SSL:10m;
ssl_session_timeout         10m;
ssl_buffer_size             1400;
spdy_headers_comp           6;
add_header                  Alternate-Protocol 443:npn-spdy/3;

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 "AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers   on;
ssl_ecdh_curve              secp384r1;

add_header                  X-Frame-Options DENY;
add_header                  X-Content-Type-Options nosniff;
add_header                  Strict-Transport-Security "max-age=31536000; includeSubDomains";

ssl_certificate             ssl/public.crt;
ssl_certificate_key         ssl/private.key;

ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     ssl/ca-certs.pem;
resolver                    8.8.8.8 valid=300s;
resolver_timeout            10s;

Я не уверен, сможете ли вы настроить Nginx для подробного протоколирования ошибок при выполнении соединения SSLv3. Но вы определенно можете настроить его для регистрации всех соединений SSL или TLS, а затем вы можете анализировать соединения типа SSLv3. Для этого вам нужно будет добавить '$ssl_protocol ' вариант для log_format в вашем файле конфигурации nginx.

В моем случае, например, у меня есть следующие строки в /etc/nginx/nginx.conf -

...
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$ssl_protocol '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
...

Если я сделаю соединение SSLv3 с помощью curl -

daniel@localhost$ curl -k --sslv3 https://todo.home.net/login.php
curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Я вижу следующие строки в /var/log/nginx/access.log -

192.168.10.206 - - [26/Apr/2015:18:21:25 -0700] "GET HTTP/1.0" SSLv3 400 173 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:21:43 -0700] "GET HTTP/1.0 /login.php" SSLv3  400 173 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:22:56 -0700] "-" SSLv3  400 0 "-" "-" "-"
192.168.10.206 - - [26/Apr/2015:18:23:04 -0700] "-" SSLv3  400 0 "-" "-" "-"

Если вы отключите SSLv3 на сервере Nginx, вы получите ошибку на стороне клиента -

А на стороне сервера файл журнала будет содержать версию протокола и код HTTP 400, вы можете использовать эту информацию для идентификации клиентов, использующих SSLv3.