Мой сервер nginx успешно проверяет большинство (ожидаемых) клиентских сертификатов, но некоторые старые клиентские сертификаты получают «400 Bad Request Ошибка сертификата SSL» и создают эту запись журнала - «Ошибка проверки SSL-сертификата клиента: (68: CAСлишком слабый алгоритм дайджеста подписи) "
Есть ли способ разрешить более старые алгоритмы дайджеста подписи?
Запуск openssl list -digest-algorithms показывает sha1RSA, но он не включен в TLSv1.2 - Протокол рукопожатия - Сообщение запроса сертификата.
Версии: - helm chart nginx-ingress v1.1.3 -nginx-ingress-controller v0.21.0 - nginx v1.15.6 - openssl 1.1.1
- Обновление -
Для проверки клиентских сертификатов, подписанных слабымиалгоритмы дайджеста, добавьте @SECLEVEL=0 в свой список ssl_ciphers, то есть ssl_ciphers 'HIGH:!aNULL:!MD5@SECLEVEL=0';
обсуждение и openssl ссылка .
Я не понимаю всех последствий @SECLEVEL, поэтому лучшее решение - использовать обновленные сертификаты клиентов!