如何在 Nginx 中启用 TLS 1.2?

【问题标题】:How to enable TLS 1.2 in Nginx?如何在 Nginx 中启用 TLS 1.2?
【发布时间】:2016-01-25 05:35:01
【问题描述】:

我被this卡住了,终于知道了

"SSLv3 被 POODLE 漏洞证明是不安全的。您 应确保您的系统具有最新版本的 OpenSSL,以便 你可以使用 TLSv1.2。”

我发现了完全相同的问题here,但找不到有效的解决方案。那么如何在我的 cent OS 生产服务器上启用 TLSV1.2? 我正在使用 ruby​​ 2.1.2 和 Rails 3.2.21。

我尝试在我的 nginx 配置文件中添加ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

server {
    listen       80;
        server_name kickmarket.eu www.kickmarket.eu;
        passenger_enabled on;
        root /home/kickmarketeu/current/public;
        rails_env production;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

但它对我不起作用。

 root@186-aven-vps nginx]# openssl s_client -connect xx.xx.xx.xx:80 -ssl3
    CONNECTED(00000003)
    140503487715232:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 5 bytes and written 7 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv3
        Cipher    : 0000
        Session-ID:
        Session-ID-ctx:
        Master-Key:
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1445843616
        Timeout   : 7200 (sec)
        Verify return code: 0 (ok)
    ---

我正在使用以下版本的 nginx 和 openssl 库。

[root@186-aven-vps nginx]# nginx -v
nginx version: nginx/1.8.0
[root@186-aven-vps nginx]#  openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Mon Jun 29 12:45:07 UTC 2015
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches   -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

【问题讨论】:

  • 这不是错误。击败 POODLE 的唯一可靠方法是禁用 SSLv3,您这样做了。 (您是否还启用了 TLSv1.1 和 TLSv1.2 并不重要,尽管这本身就是一个好主意。)如果您禁用 SSLv3 并告诉s_client 只建立一个 SSLv3 连接,它应该完全失败确实如此。
  • @dave_thompson_085 非常感谢。我感到困惑的一件事是我是否需要使用 HTTPS/SSL 才能调用 Paypal 沙盒 API?

标签: ruby-on-rails ssl nginx paypal centos


【解决方案1】:

要在 Ruby 中使用 TLSv1.2 调用 PayPal 沙箱,只需确保您拥有 OpenSSLv1.0.1c 或更高版本(看起来像)并连接到 https API(没有 HTTP 等价物)。

您只需要担心 Nginx 配置即可接收 TLSv1.2 连接。 (无论如何您可能都想这样做。)SSLLabs has a test tool 您可以使用它来验证您的服务器的配置。

【讨论】:

    猜你喜欢
    • 2018-10-13
    • 2017-01-02
    • 2020-12-06
    • 2019-03-18
    • 1970-01-01
    • 2015-03-15
    • 2020-05-03
    • 2018-02-03
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode