Я в процессе перехода на 100% https.
На сервере работает nginx + libressl.
Прежде чем перейти на https: 100%, мне интересно узнать, какие клиенты больше не смогут подключаться к моему сайту.
Например. Поскольку я не поддерживаю SSL3.
Я проверил журнал ошибок и доступа nginx, но ни один из них не содержит ценной информации, если я попытаюсь подключиться с помощью SSL3.
Что я ожидаю увидеть: например:
Client [IP]: Connection failed due to protocol/cipher mismatch.
Затем я смогу найти для этого журналы доступа / ошибок и посмотреть, сколько клиентов больше не могут получить доступ к моему сайту.
Это возможно?
Текущий nginx.conf
:
user www-data www-data;
pid /run/nginx.pid;
worker_processes auto;
worker_rlimit_nofile 100000;
error_log /var/log/nginx/error.log;
events {
worker_connections 2048;
use epoll;
multi_accept on;
}
http {
server_tokens off;
autoindex off;
charset UTF-8;
include mime.types;
default_type application/octet-stream;
log_format main '$host - $remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
keepalive_timeout 10;
reset_timedout_connection on;
client_body_timeout 10;
send_timeout 10;
client_max_body_size 512k;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://www.domain.com$request_uri;
}
server {
listen 443 ssl spdy;
server_name domain.com;
include conf.d/ssl.conf;
return 301 https://www.domain.com$request_uri;
}
server {
listen 443 ssl spdy;
server_name www.domain.com;
root /var/www/vhosts/domain.com/public_html;
include conf.d/ssl.conf;
default_type text/html;
location / {
return 200 'Hello World!';
}
}
}
conf.d/ssl.conf
:
ssl on;
ssl_dhparam ssl/dhparam4096.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_buffer_size 1400;
spdy_headers_comp 6;
add_header Alternate-Protocol 443:npn-spdy/3;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
ssl_certificate ssl/public.crt;
ssl_certificate_key ssl/private.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ssl/ca-certs.pem;
resolver 8.8.8.8 valid=300s;
resolver_timeout 10s;
Я не уверен, сможете ли вы настроить Nginx для подробного протоколирования ошибок при выполнении соединения SSLv3. Но вы определенно можете настроить его для регистрации всех соединений SSL или TLS, а затем вы можете анализировать соединения типа SSLv3. Для этого вам нужно будет добавить '$ssl_protocol '
вариант для log_format
в вашем файле конфигурации nginx.
В моем случае, например, у меня есть следующие строки в /etc/nginx/nginx.conf
-
... log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$ssl_protocol ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; ...
Если я сделаю соединение SSLv3 с помощью curl -
daniel@localhost$ curl -k --sslv3 https://todo.home.net/login.php curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Я вижу следующие строки в /var/log/nginx/access.log
-
192.168.10.206 - - [26/Apr/2015:18:21:25 -0700] "GET HTTP/1.0" SSLv3 400 173 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:21:43 -0700] "GET HTTP/1.0 /login.php" SSLv3 400 173 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:22:56 -0700] "-" SSLv3 400 0 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:23:04 -0700] "-" SSLv3 400 0 "-" "-" "-"
Если вы отключите SSLv3 на сервере Nginx, вы получите ошибку на стороне клиента -
А на стороне сервера файл журнала будет содержать версию протокола и код HTTP 400
, вы можете использовать эту информацию для идентификации клиентов, использующих SSLv3.