Обновление nginx ssl_protocol до TLSv1.2 - PullRequest
Новая
       124

Обновление nginx ssl_protocol до TLSv1.2

2 голосов
/ 24 января 2020

У меня установлен nginx на экземпляре ec2 для обратного прокси сетевого запроса на мой сервер Tomcat. Конфигурация nginx содержит конфигурацию для нескольких веб-сайтов в sites_available. На некоторых сайтах есть ssl, а на некоторых нет. Проблема заключается в том, что на сайтах с ssl не отображается замок в браузере chrome, а в Microsoft Edge (последняя версия), Safari. Браузер Chrome отображает на консоли предупреждение, которое выглядит примерно так: 

The connection used to load resources from https://www.spyne.ai used TLS 1.0 or TLS 1.1, which are deprecated and will be disabled in the future. Once disabled, users will be prevented from loading these resources. The server should enable TLS 1.2 or later. See https://www.chromestatus.com/feature/5654791610957824 for more information.

Поэтому я попытался обновить nginx .conf с 

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

до 

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

и настройка одного из веб-сайтов на ssl в блоке сервера. 

    server_name www.spyne.ai;
    listen 443 ssl;
    listen [::]:443 ssl;
    charset utf-8;
    ssl on;
    ssl_protocols TLSv1.2;

После применения указанных выше изменений я протестировал с помощью curl

curl -I -v - -tlsv1.2 https://www.spyne.ai/

Вывод вышеуказанной команды 

* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 594 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* gnutls_handshake() failed: A packet with illegal or unsupported version was 
 received.
* Closing connection 0
curl: (35) gnutls_handshake() failed: A packet with illegal or unsupported 
 version was received.

Но для tlsv1 вывод в порядке 

* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 594 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.0

I для краткости сократили вывод. 

nginx version
1.10.3

openssl version
OpenSSL 1.0.2g  1 Mar 2016

Как включить TLSv1.2 в моей конфигурации nginx. Я могу поделиться дополнительной информацией, если это необходимо. Заранее спасибо

...