Как включить только TLS 1.2 только на веб-сервере Nginx

Мануал

SSL 2.0 и SSL 3.0 имеют множество известных уязвимостей, таких как POODLE (CVE-2014-3566), поэтому они удалили поддержку этих уязвимых протоколов.

Мы также рекомендуем поменять свой сервер на защиту с TLS и специфические TLS 1.2.

Этот учебник поможет вам включить TLS 1.2 на веб-сервере Nginx.

Включить TLS 1.2 в Nginx

Измените раздел блока сервера Nginx для своего домена на своем сервере и добавьте ssl_protocols в следующем порядке.

Это позволяет использовать протокол TLSv1.2 только в вашем блоке сервера Nginx.

 ssl_protocols TLSv1.2; 

Самый простой серверный блок Nginx с SSL выглядит ниже

server {
listen 443 ssl;
server_name example.com;

ssl_protocols TLSv1.2;
ssl_certificate /etc/pki/tls/cert.pem;
ssl_certificate_key /etc/pki/tls/private/privkey.pem;

Включить TLS 1.1 и 1.2.

Уязвимость в POODLE расширяется за пределы SSLv3 до TLS 1.0 и 1.1.

Поэтому мы не рекомендуем использовать это для производственного сервера.

Вы не можете выполнить следующую конфигурацию.

  ssl_protocols TLSv1.2 TLSv1.1; 

После настройки, перезагрузите веб-сервер, служба Nginx применит новые настройки.

 

Добавить комментарий