У меня возникла проблема при попытке отключить SSLv3 в моей установке nginx.
HTTPS работает нормально, но я просто не могу отключить SSLv3, и это делает мой сайт уязвимым для атаки POODLE. Кроме того, почему-то соединение зашифровано 128-битным, а не 256-битным, хотя у меня есть 256-битный сертификат.
Версия Nginx: 1.6.2
Вот что я ввел в свой серверный блок на сайте, который хотел использовать:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers On;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
Спасибо!
Единственная строка, которую вам нужно использовать, чтобы остановить использование nginx, - это ваша первая строка, т.е.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Если вы все еще видите, что nginx использует SSLv3, то ваша новая конфигурация, скорее всего, не была применена.
Использовать nginx -t для проверки вашей конфигурации, затем перезагрузите службу, используя:
service nginx reload
или отправить SIGHUP сигнал главному процессу nginx.
Чтобы убедиться, что ошибок не произошло и перезагрузка конфигурации произошла без сбоев, следите за основным error_log (тот, который определяется на самом высоком уровне, обычно main) внимательно. Там будут появляться ошибки, если что-то не так (например, из-за сертификатов SSL или чего-то, что не обнаруживается во время проверки конфигурации).
Шифры не имеют ничего общего с размером вашего ключа. Они согласовываются между клиентом и сервером, чтобы выбрать общие поддерживаемые наборы шифров, чтобы выполнить 4 части протокола SSL, где необходимы дайджесты / хэши / подписи.
Различные качества разных наборов шифров лучше подходят для определенных шагов, чем для других.
Дополнительная информация о наборах шифров доступна в @Wikipedia..