如何在Nginx中禁用TLSv1.0和TLSv1.1

发布时间：2020-12-13 21:15:50 所属栏目：Nginx 来源：网络整理

导读：我试图弄清楚如何禁用TLSv1和1.1 Nginx,并且只允许1.2上的连接.这是出于测试原因而不是生产使用,对于我的生活无法弄清楚为什么Nginx不会让我这样做. Nginx SSL配置： ssl on;ssl_protocols TLSv1.2;ssl_prefer_server_ciphers on;ssl_ciphers ECDH+AESGCM256

我试图弄清楚如何禁用TLSv1和1.1 Nginx,并且只允许1.2上的连接.这是出于测试原因而不是生产使用,对于我的生活无法弄清楚为什么Nginx不会让我这样做.

Nginx SSL配置：

ssl on;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:!aNULL:!MD5:!kEDH;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=262974383; includeSubdomains;";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;

但由于某些原因,Nginx仍在谈判1.0和1.1连接.难道我做错了什么？我在Ubuntu Server 14.04LTS上使用Nginx 1.7.10和OpenSSL 1.0.1f.

最佳答案

从nginx documentation for ssl_protocols指令：

The TLSv1.1 and TLSv1.2 parameters are supported starting from versions 1.1.13 and 1.0.12,so when the OpenSSL version 1.0.1 or higher is used on older nginx versions,these protocols work,but cannot be disabled.`

在较新的版本中,可以使用openssl命令验证,如下所示：

>验证是否支持TLS v1.2：openssl s_client -tls1_2 -connect example.org：443<的/ dev / null的
>验证不支持TLS v1.1：openssl s_client -tls1_1 -connect example.org：443<的/ dev / null的
>验证不支持TLS v1.0：openssl s_client -tls1 -connect example.org：443<的/ dev / null的
如果nginx配置仅包含ssl_protocols TLSv1.2指令,则仅支持TLSv1.2.如果配置了ssl_protocols TLSv1.1和TLSv1.2,则仅支持TLSv1.1和TLSv1.2.使用openssl 1.0.1e和nginx 1.6.2进行测试.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!