Howto Ssl

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Последняя версия Следующая версия справа и слева
howto:howto_ssl [10.12.2018 05:59]
nikolay_carbonsoft1 Approved(admin 2018/12/10 09:26) 		howto:howto_ssl [27.12.2018 18:13]
admin Approved(admin 2018/12/27 18:13)
Строка 18: Строка 18:
         ssl_dhparam /​etc/​ssl/​dh4096.pem;​         ssl_dhparam /​etc/​ssl/​dh4096.pem;​
         ssl_ciphers EECDH+ECDSA+AESGCM:​EECDH+aRSA+AESGCM:​EECDH+ECDSA+SHA512:​EECDH+ECDSA+SHA384:​EECDH+ECDSA+SHA256:​ECDH+AESGCM:​ECDH+AES256:​DH+AESGCM:​DH+AES256:​RSA+AESGCM:​!aNULL:​!eNULL:​!LOW:​!RC4:​!3DES:​!MD5:​!EXP:​!PSK:​!SRP:​!DSS:​!SEED:​!CAMELLIA:​!IDEA:​!PSK:​!SRP:​!SSLv2:​!SSL3;​         ssl_ciphers EECDH+ECDSA+AESGCM:​EECDH+aRSA+AESGCM:​EECDH+ECDSA+SHA512:​EECDH+ECDSA+SHA384:​EECDH+ECDSA+SHA256:​ECDH+AESGCM:​ECDH+AES256:​DH+AESGCM:​DH+AES256:​RSA+AESGCM:​!aNULL:​!eNULL:​!LOW:​!RC4:​!3DES:​!MD5:​!EXP:​!PSK:​!SRP:​!DSS:​!SEED:​!CAMELLIA:​!IDEA:​!PSK:​!SRP:​!SSLv2:​!SSL3;​
 +</​code>​
 +
 +
 +====== Системы мониторинга или проверки найстройки https ругаются на SSLv2. nginx ======
 +У Вас сайт настроен на nginx, все небезопасные протоколы выключены,​ а системы тестирования сайтов ругаются,​ что у Вас поддерживается небезопасный протокол SSLv2.
 +
 +Проблема в том, что роутинг в nginx для https построен на SNI, а он поддерживается только в TLS. При этом, в nginx может быть настроен дефолтный сайт (/​etc/​nginx/​conf.d/​default.conf),​ где, обычно,​ включен sslv2 по-дефолту. Т.е. если подключиться к Вашему сайту с помощью SSLv2, nginx подключит пользователя и зароутит его на дефолтный сайт.
 +
 +Решение:​ выключить дефолт или отключить там небезопасные протоколы. Но тогда клиенты с устаревшими браузерами не смогут к Вам подключиться (если включен редирект http->​https).
 +
 +Проверить,​ доступен ли у Вас сайт по SSLv2 можно командой:​
 +<code bash>
 +openssl s_client -connect localhost:​443 -ssl2
 </​code>​ </​code>​