Апну топик, обновился к майнлайновому 1.13.6 проблема осталась,
почему-то NGINX упорно хочет работать исключительно по TLSv1.2
протоколу, отвергая остальные
Конфиг тот же
nginx version: nginx/1.13.6
built with OpenSSL 1.1.0f 25 May 2017
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2
-fdebug-prefix-map=/build/nginx-qNPYfb/nginx-1.13.6=.
-fstack-protector-strong -Wformat -Werror=format-security -fPIC
-Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now
-fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf
--http-log-path=/var/log/nginx/access.log
--error-log-path=/var/log/nginx/error.log
--lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid
--modules-path=/usr/lib/nginx/modules
--http-client-body-temp-path=/var/lib/nginx/body
--http-fastcgi-temp-path=/var/lib/nginx/fastcgi
--http-proxy-temp-path=/var/lib/nginx/proxy
--http-scgi-temp-path=/var/lib/nginx/scgi
--http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit
--with-http_ssl_module --with-http_stub_status_module
--with-http_realip_module --with-http_auth_request_module
--with-http_v2_module --with-http_dav_module --with-http_slice_module
--with-threads --with-http_addition_module
--with-http_geoip_module=dynamic --with-http_gunzip_module
--with-http_gzip_static_module --with-http_image_filter_module=dynamic
--with-http_sub_module --with-http_xslt_module=dynamic
--with-stream=dynamic --with-stream_ssl_module
--with-stream_ssl_preread_module --with-mail=dynamic
--with-mail_ssl_module
--add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-auth-pam
--add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-dav-ext
--add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-echo
--add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-upstream-fair
--add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-subs-filter
Может подскажет кто-то хоть в какую сторону копать?
Очень признателен за любые советы
28.09.2017 12:59, Максим Баштовой пишет:
nginx 1.13.5-1
openssl 1.1.0f-5
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_certificate /etc/nginx/ssl/chained.crt;
ssl_certificate_key /etc/nginx/ssl/ssl.key;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!NULL:!RC4;
ssl_ecdh_curve prime256v1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ocsp.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=31536000;
includeSubDomains; preload";
#add_header X-Frame-Options SOMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block;";
SSL тест сообщает:
Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No
Старые браузеры, соотв., поотваливались
Подскажите, пожалуйста, как вернуть поддержку старых версий TLS?
С уважением,
Максим Баштовой
www.sho0ter.com
[email protected]
--
С уважением,
Максим "Sho0ter" Баштовой
www.sho0ter.com
[email protected]
_______________________________________________
nginx-ru mailing list
[email protected]
http://mailman.nginx.org/mailman/listinfo/nginx-ru
