ssl - 在 Nginx 上禁用 TLSv1.0(PCI-DSS 兼容)
问题描述
我已更改为此设置,但 TLSv1.0 仍然出现在测试中。
有人可以帮忙吗?
猫 /etc/letsencrypt/options-ssl-nginx.conf
ssl_session_cache shared:le_nginx_SSL:1m;
ssl_session_timeout 1440m;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
猫 /etc/nginx/nginx.conf
ssl_protocols TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
解决方案
你可能有太多ssl_ciphers.
以下值来自TLS/SSL 密码强化建议,他们的评论指出它用于“启用现代 TLS 密码套件”。我必须警告你,我们只在登台服务器上使用过它:
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
推荐阅读
- tensorflow - 使用静态 rnn 获取 TypeError:无法将值 None 转换为 TensorFlow DType
- shell - 按第一个字符拆分文件
- python-3.x - Python如何计算范围列表的平均值?
- php - 如何在codeigniter中从会话中循环数据数组
- php - 在感谢页面上的 HTML 代码中插入来自 PHP 的值
- java - 从内部 json 对象获取键值
- variables - Ansible 2.8 角色 - 使用 vars/main 目录
- c++ - 使用 SFEMP3Shield.h 库尝试实现播放/暂停代码的错误消息
- sockets - 在策略测试器上使用 MQL5 网络函数
- c# - 在 GAMS dotnet api 中添加记录没有键