试图配置ssl_ciphers

Question

我正试图在https://www.immuniweb.com/ssl/上取得完美的成绩，我唯一需要的就是禁用所有的山茶花密码。

我在NGINX中的配置是：

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384;

所以我只是在行的末尾添加了:!CAMELLIA，现在它是：

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384:!CAMELLIA;

我重新启动了nginx很多次，但是CAMELLIA还在工作。我在这里发现了类似的问题，nginx似乎忽略了ssl_密码设置，并试图阻止它几分钟，但它没有帮助。

有人能帮我吗？

Answer 1

请确保将ssl_ciphers放置在http块中，以便它影响所有服务器：

http {
    ...
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ...
}

之后，重新启动nginx。