NGINX में TLS 1.0 को अक्षम करें

मेरे पास हमारी साइटों के लिए एक विपरीत प्रॉक्सी के रूप में एक NGINX अभिनय है और बहुत अच्छा काम कर रहा है। उन साइटों के लिए जिन्हें ssl की आवश्यकता है, मैंने raymii.org का अनुसरण करते हुए यह सुनिश्चित करने के लिए कि SSLLabs स्कोर को यथासंभव मजबूत बनाया है। साइटों में से एक को PCI DSS के अनुरूप होने की आवश्यकता है लेकिन नवीनतम TrustWave स्कैन के आधार पर अब TLS 1.0 सक्षम होने के कारण विफल हो रहा है।

Nginx.conf में http स्तर पर:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

मेरे पास विशिष्ट सर्वर के लिए:

ssl_protocols TLSv1.1 TLSv1.2;

मैंने सिफर्स को बदल दिया है, चीजों को http स्तर से और प्रत्येक ssl साइट सर्वर पर स्थानांतरित कर दिया है, लेकिन कोई फर्क नहीं पड़ता कि मैं क्या चलाता हूं:

openssl s_client -connect www.example.com:443 -tls1

मुझे टीएलएस 1.0 के लिए वैध कनेक्शन मिलता है। SSLLabs साइट के लिए nginx सेटअप को A के रूप में रखता है, लेकिन TLS 1.0 के साथ इसलिए मेरा मानना ​​है कि मेरा बाकी सेटअप सही है, यह केवल TLS 1.0 को बंद नहीं करेगा।

क्या मैं लापता हो सकता है पर विचार?

openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64

nginx -v
nginx version: nginx/1.8.0

यहां समस्या यह है कि ए Server name indication टीएलएस वार्ता का हिस्सा कनेक्शन के बाद ही बातचीत के बाद किया जाता है। और प्रोटोकॉल को कनेक्शन बातचीत के दौरान बातचीत की जाती है।

यदि आप उस वर्चुअल होस्ट को उस सर्वर पर IP पते पर कॉन्फ़िगर करते हैं, जिसके साथ कोई अन्य वर्चुअल होस्ट संबद्ध नहीं है, तो उस वर्चुअल होस्ट के लिए कोई TLS v1.0 लागू करना संभव हो सकता है। इसलिए nginx आईपी पते के आधार पर पता होगा कि कोई TLS v 1.0 की अनुमति नहीं है।

एक सर्वर ब्लॉक ढूंढें जिसे आप अपने "डिफ़ॉल्ट" एसएसएल वार्ता टेम्पलेट के रूप में उपयोग करना चाहते हैं। अपनी सुनने की लाइन खोजें

server {
    ...
    listen 443 ssl;
    ssl_protocols TLSv1.1 TLSv1.2;
    ...
}

और default_serverलाइन के अंत में जोड़ें

server {
    ...
    listen 443 ssl default_server;
    ssl_protocols TLSv1.1 TLSv1.2;
    ...
}

यह nginx को कॉन्फ़िगरेशन के लिए अनुमति देता है जब यह बातचीत कर रहा है कि कौन सा TLS संस्करण का उपयोग करना है। नकारात्मक पक्ष यह है कि आपके पास प्रति पोर्ट केवल एक डिफ़ॉल्ट सर्वर हो सकता है। इसलिए TLSv1 के साथ कुछ वर्चुअल डोमेन को सक्षम किया गया है और इसके साथ अन्य लोग अक्षम हैं कोई नहीं है।

मैंने nnxx संस्करण 1.8.1 पर TLSv1 को अक्षम कर दिया है। आपको खुलने के समय को 1.0.1g या 1.0.1h संस्करणों में अपडेट करना होगा। फिर बस ssl_protocols निर्देश से 'TLSv1' निकालें:

ssl_protocols TLSv1.1 TLSv1.2

फिर कमांड द्वारा TLSv1 के माध्यम से कनेक्शन की जाँच करें:

openssl s_client -tls1 -connect example.com:443 < /dev/null

आपको कुछ ऐसा मिलना चाहिए:

CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1474531027
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---