मेरे पास हमारी साइटों के लिए एक विपरीत प्रॉक्सी के रूप में एक NGINX अभिनय है और बहुत अच्छा काम कर रहा है। उन साइटों के लिए जिन्हें ssl की आवश्यकता है, मैंने raymii.org का अनुसरण करते हुए यह सुनिश्चित करने के लिए कि SSLLabs स्कोर को यथासंभव मजबूत बनाया है। साइटों में से एक को PCI DSS के अनुरूप होने की आवश्यकता है लेकिन नवीनतम TrustWave स्कैन के आधार पर अब TLS 1.0 सक्षम होने के कारण विफल हो रहा है।
Nginx.conf में http स्तर पर:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
मेरे पास विशिष्ट सर्वर के लिए:
ssl_protocols TLSv1.1 TLSv1.2;
मैंने सिफर्स को बदल दिया है, चीजों को http स्तर से और प्रत्येक ssl साइट सर्वर पर स्थानांतरित कर दिया है, लेकिन कोई फर्क नहीं पड़ता कि मैं क्या चलाता हूं:
openssl s_client -connect www.example.com:443 -tls1
मुझे टीएलएस 1.0 के लिए वैध कनेक्शन मिलता है। SSLLabs साइट के लिए nginx सेटअप को A के रूप में रखता है, लेकिन TLS 1.0 के साथ इसलिए मेरा मानना है कि मेरा बाकी सेटअप सही है, यह केवल TLS 1.0 को बंद नहीं करेगा।
क्या मैं लापता हो सकता है पर विचार?
openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64
nginx -v
nginx version: nginx/1.8.0