ssl - 在 Nginx 上禁用 SSLv3

Question

为什么我的服务器上仍然启用了 SSLv3？我想禁用的原因是在某些计算机上因为安全问题无法打开我的页面。

我找到了这个 guide :

---

---

但目前我已经设置好了。我的服务器托管在谷歌云中，我目前有这个 Nginx 配置文件:

...
ssl on;
ssl_certificate /etc/nginx/dba_certs/dba_ssl2/ssl-bundle.crt;
ssl_certificate_key /etc/nginx/dba_certs/dba_keys/dba.key;

ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;
...

OpenSSL 版本是 1.0.1f 2014 年 1 月 6 日。

有什么问题吗？

Answer 1

要禁用 SSLv3，您必须编辑默认服务器 配置，而不仅仅是任意虚拟主机配置。它只能为监听套接字禁用，而不仅仅是虚拟服务器。您提供的配置片段表明您正在使用每个服务器包含的配置文件，因此您必须在适当的 listen 指令中找到一个带有 default_server 的文件，并且在那里禁用 SSLv3:

server {
    listen 443 default_server ssl;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ...
}

或者，更好的是，在 nginx.conf 中编辑 http 级别的配置:

http {
    ...
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ...
}

您也可以考虑将 nginx 升级到最新版本。在 nginx 1.9.1+ 中，默认禁用 SSLv3。