我使用nginx作为反向代理,我试图closuressslv3的支持。
我在这里和其他各种网站上都find了各种答案。 他们都build议我所需要做的就是在我的nginx.conf中添加如下的默认http块
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4"; ssl_prefer_server_ciphers on; 我已经完成了,甚至尝试从https://cipherli.st/这个完整的configuration
ssl_ciphers "AES128+EECDH:AES128+EDH"; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; ssl_session_tickets off; # Requires nginx >= 1.5.9 ssl_stapling on; # Requires nginx >= 1.3.7 ssl_stapling_verify on; # Requires nginx => 1.3.7 resolver $DNS-IP-1 $DNS-IP-2 valid=300s; resolver_timeout 5s;
我仍然只获得SSL实验室的“C”评级(无论我做出什么改变),原因如下
该服务器容易受到POODLE攻击。 如果可能的话,禁用SSL 3来缓解。 等级上限为C.
此服务器接受RC4密码,这是弱。 等级上限为B.
我也重新启动了服务器,所以我知道已经应用了configuration更改。
nginx -v
nginx版本:nginx / 1.9.0
在/ etc /问题
Ubuntu 14.04.2 LTS \ n \ l
openssl版本-a
OpenSSL 1.0.1f 2014年1月6日on:Thu Mar 19 15:12:02 UTC 2015 platform:debian-amd64 options:bn(64,64)rc4(16x,int)des(idx,cisc,16,int)blowfish (idx)编译器:cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector -param = ssp-buffer-size = 4 -Wformat -Werror = format-安全-D_FORTIFY_SOURCE = 2 -Wl,-Bsymbolic函数-Wl,-z,relro -Wa, – noexecstack -Wall -DMD32_REG_T = INT -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM – DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR:“/ usr / lib / ssl”
有什么build议么?
我相信你的openssl版本是问题。 openssl小组build议最低版本1.01j。
另外,检查你的密码。 RC4之前不应该有冒号吗?