Форум Сайтостроение Администрирование серверов

nginx/1.15.8 - как включить TLSv1.1 + TLSv1.0?

12 3
D
На сайте с 28.06.2008
Offline
1101
Dram
3042

Подумав решил что в погоне за новыми технологиями лишил себя пары сотен юзеров в день,а то и больше. Решил вернуть TLSv1.1 + TLSv1.0 но это оказалось не просто.

просто изменить

ssl_protocols TLSv1.3 TLSv1.2 TLSv1.1 TLSv1.0;
уже не прокатывает.

Добавил в /etc/ssl/openssl.cnf

строки

MinProtocol = TLSv1.0
CipherString = DEFAULT@SECLEVEL=1

перезапустил Nginx - не помогло. Что не так?

baas
На сайте с 17.09.2012
Offline
161
baas
#1

По моему ошибка в этом TLSv1.0, нужно TLSv1;

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
D
На сайте с 28.06.2008
Offline
1101
Dram
#2

Пробовал так

ssl_protocols TLSv1.3 TLSv1.2 TLSv1.1;

Даже 1.1 не включается. В сети нашел что в Nginx выше 1.14 выключили по умолчанию поддержку ниже 1.2 и типа нужно прописывать минимальную версию сюда /etc/ssl/openssl.cnf

Ну я прописал но может не Nginx теперь перезагружать нужно а весь серв ?

---------- Добавлено 11.02.2019 в 09:11 ----------

https://forum.nginx.org/read.php?2,281984,282011#msg-282011

только что заметил у меня тут /etc/ssl файл называется не openssl.conf а openssl.cnf

baas
На сайте с 17.09.2012
Offline
161
baas
#3
Dram:
Пробовал так

Даже 1.1 не включается. В сети нашел что в Nginx выше 1.14 выключили по умолчанию поддержку ниже 1.2 и типа нужно прописывать минимальную версию сюда /etc/ssl/openssl.cnf

Ну я прописал но может не Nginx теперь перезагружать нужно а весь серв ?

---------- Добавлено 11.02.2019 в 09:11 ----------

https://unix.stackexchange.com/questions/481963/nginx-1-14-on-debian-testing-buster-no-tls-1-0-1-1

Этот геморрой не стоит tls1.

На виндузе xp и старых линуксах сидят 2-5% от общего объема, из них 3-4% изолированны в интернет не выходят, для 1-1,5% держать устаревшие протоколы, не стоят они этого.

А кстати tls1.3 не безопасен вроде.

Vin_cent
На сайте с 22.01.2010
Offline
165
Vin_cent
#4

Не прокатывает, т.к. нужно указать правильные ssl_ciphers.

У меня такой конфиг, и все версии работают (тест на https://www.ssllabs.com/ssltest/)

ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+AESGCM:EECDH+AES:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES:DES-CBC3-SHA:!NULL:!RC4:!AESCCM;

p.s. никакие openssl.cnf трогать не нужно

D
На сайте с 28.06.2008
Offline
1101
Dram
#5

Что там вместо смайлика? МОжете в цитату взять?

D
На сайте с 28.06.2008
Offline
1101
Dram
#6

Нет, к сожалению не помогло

png 181374.png
baas
На сайте с 17.09.2012
Offline
161
baas
#7

У меня 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";

ssl_prefer_server_ciphers on;

Protocols

TLS 1.3	No

TLS 1.2	Yes

TLS 1.1	Yes

TLS 1.0	Yes

SSL 3	No

SSL 2	No

For TLS 1.3 tests, we only support RFC 8446.

nginx -v

nginx version: nginx/1.14.2
D
На сайте с 28.06.2008
Offline
1101
Dram
#8

baas, с вашим конфигом (Nginx перезагрузил) у меня все равно пишет

Protocols
TLS 1.3 Yes
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
kxk
На сайте с 30.01.2005
Offline
970
kxk
#9

Dram, Я поддерживаю отписавших в теме, если вы не грузите клиентов в ботнет (а, Вы не грузите их туда ибо я с Вами ранее пересекался и если аккаунт Ваш не украли, то Вы хороший человек) оно Вам совсем ненадо, мусорный midp трафик и windows xp ничего кроме головной боли Вам не принесёт.

Ваш DEVOPS
D
На сайте с 28.06.2008
Offline
1101
Dram
#10

Ок спасибо!

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий