Кажется, это простая настройка конфигурации, но я не могу отключить TLSv1.1.
nginx.conf в / etc / nginx:
ssl_protocols TLSv1.2;
Конфигурация домена last_nginx.conf (изменен с помощью шаблонов Plesk в nginxDomainVirtualHost.php):
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!SRP:!CAMELLIA;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/server.dh_pem;
Тем не менее, TLSv1.1 включен и при тестировании с openssl возвращает следующее:
openssl s_client -tls1_1 -connect mydomain.com:443 < /dev/null
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.1
Cipher : DHE-RSA-AES256-SHA
Session-ID: E298E87276A0776AF736439AF260FE0F92B17330ED97D5F3C2F87CF02C3F75A8
Что мне здесь не хватает? Почему TLSv1.1 все еще включен, хотя был указан только TLSv1.2?
Есть предложения, как отключить TLSv1.1?
Спасибо!
Это предположение, поскольку вы не опубликовали свою полностью (очищенную) конфигурацию, но, скорее всего, используете общий listen блокировать на нескольких серверах. Хотя синтаксис конфигурации делает это возможным, на самом деле у вас не может быть несопоставимых спецификаций шифров между server блоки, которые разделяют то же самое listen.
Более конкретно:
server {
listen 443 ssl;
server_name tls.example.com;
}
server {
listen 443 ssl;
server_name tls12.example.com;
ssl_protocols TLSv1.2;
}
Если бы вы скрутили здесь tls12.example.com, вы бы обнаружили, что он поддерживает 1.1. Однако если вы добавите такое же ограничение к tls.example.com server, будет поддерживаться только 1.2.
Единственное реальное решение - использовать выделенный IP-адрес для ограничения или убедиться, что все server блоки для этой комбинации (ip, порт) имеют одинаковые настройки шифрования SSL.
Боковое примечание: приведенное выше обсуждение также относится к включению / отключению HTTP / 2.