nginx/1.15.8 - как включить TLSv1.1 + TLSv1.0?

Если вы ставите тестовую версию Debian, то для тестирования вами вполне подойдёт и TLS1.2. Для продакшена всё-таки стоит использовать стабильные версии. В стабильной версии (это в данный момент Debian 9) никаких проблем с TLSv1, TLSv1.1 нет. И не соглашусь с предыдущими ответами, что TLSv1 не нужен. Если у вас домашняя страничка, куда заходят 5 человек в сутки ваших друзей с современных компьютеров, то может и не нужен TLSv1, а если у вас популярный сайт с многотысячной аудиторией, приносящий доход, то вы просто теряете посетителей и деньги, не давая им доступ к сайту.

Тот же Гугл только недавно SSLv3 отключил, а Яндекс до сих пор поддерживает SSLv3, т.к. они не готовы терять посетителей даже, если он будет 1 на 20 ботов. От ботов можно другими путями защищаться.

Дело не в Дебиане а в последней версиях Nginx. Как на версиях выше 1.15 заставить работать одновременно TLS 1.1 и 1.3 я так и не нагуглил.

В сети пишут что да - виноват Дебиан, но типа на версиях Nginx выше 1.15.3 эта проблема решена, а у меня 1.15.8

Причем OpenSSL поддерживает,я проверял

---------- Добавлено 12.02.2019 в 11:41 ----------

Хотя посмотрел за вчера лог ошибок Nginx и там всего одна запись

Я так понимаю со вчера был только один запрос со старого клиента... тогда можно не парится :))

Стоит заметить, что последняя стабильная версия Nginx 1.14.2. Поэтому для продакшена стоит использовать её.

В тестовых версиях всегда встречается множество самых различных глюков. Но конкретно в вашем случае пишут, что в тестовой версии Debian отключена поддержка TLSv1. Если её включить и затем пересобрать Nginx из исходников, то теоретически TLSv1 должен появиться.

У меня вроде не тестовая

Ваша проблема в том, что не существует в openssl протокола TLSv1.0. Существует TLSv1. Исправьте или сделайте так:

/etc/ssl/openssl.cnf:

.....
[default_conf]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
MinProtocol = None
CipherString = DEFAULT

# apt-cache policy libssl1.1

libssl1.1:
  Installed: 1.1.1a-1
  Candidate: 1.1.1a-1
  Version table:
 *** 1.1.1a-1 500
        500 http://mirror.yandex.ru/debian testing/main amd64 Packages
        100 /var/lib/dpkg/status
     1.1.0j-1~deb9u1 990

# apt-cache policy nginx

nginx:
  Installed: 1.14.1-1~bpo9+1
  Candidate: 1.14.2-2
  Version table:
     1.14.2-2 500
        500 http://mirror.yandex.ru/debian testing/main amd64 Packages
 *** 1.14.1-1~bpo9+1 100
        100 http://deb.debian.org/debian stretch-backports/main amd64 Packages
        100 /var/lib/dpkg/status
     1.10.3-1+deb9u2 990

Все протоколы работают.

Ради интереса добавил в конец /etc/ssl/openssl.cnf

Обновил конфиг

+ /etc/init.d/nginx reload

в итоге:

apt-cache policy libssl1.1

apt-cache policy nginx

Dram, а если

ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

???

---------- Добавлено 18.02.2019 в 18:28 ----------

А вы пишете что 1.15. Самосбор? Точно с нужной версией libssl собран? Нужен именно 1.15? Почему из репов стандартный 1.14 не хотите?

Да, самосбор - использую

openssl version -a

С вашим шифром

Ну покажите тогда ldd <путь к вашему бинарнику nginx> | grep ssl

Собирал в /opt