在SSLabs上进行testing时,我无法使TLS_FALLBACK_SCSV正常工作,从而使我不受A + 评级的影响 。
似乎它是一个libssl的问题,而不是nginx的configuration。 我已经更新到2015年1月8日的OpenSSL 1.0.1k,但仍然失败。 (也禁用了SSLv2 / 3。)
less了什么东西?
没有更新是需要防止漏洞..只是通过SSLv3拒绝连接是一个快速修复。
在configuration文件中放入以下行,或者replace以ssl_protocols开头的现有行:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers 'AES128+EECDH:AES128+EDH';
然后运行: $ sudo service nginx restart
你可以testing运行命令$ openssl s_client -connect <host>:<port> -ssl3