nginx不能禁用SSLv3

Question

我有一个问题，试图禁用SSLv3在我的nginx安装。

HTTPS工作正常，但我似乎不能禁用SSLv3，它使我的站点易受狮子狗攻击。此外，由于某种原因，即使我获得了256位证书，连接也是通过128位而不是256位加密的。

Nginx版本: 1.6.2

下面是我在我想要使用的站点上输入的服务器块：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers On;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

谢谢!

Answer 1

1.禁用SSLv3

要使nginx停止使用，唯一需要使用的行是第一行，即

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

如果您仍然看到nginx使用SSLv3，那么您的新配置很可能没有被应用。

使用nginx -t测试您的配置，然后使用以下方法重新加载服务：

service nginx reload

或者向nginx主进程发送SIGHUP信号。

若要检查是否发生错误和配置重新加载是否完美无缺，请密切监视主error_log (在最高级别定义的main)。如果有错误(即由于SSL证书或任何在配置验证时无法检测到的东西)，将弹出错误。

2.密码

密码与你的密钥大小无关。它们在客户端和服务器之间进行嵌套，以选择公共支持的密码套件，以便执行SSL协议中需要摘要/散列/签名的4部分。

不同密码套件的不同品质比其他步骤更适合于特定的步骤。

有关密码套件的更多信息可查阅@Wikipedia。