尝试配置 ssl_ciphers

尝试配置 ssl_ciphers

我正在努力获得满分https://www.immuniweb.com/ssl/ 我唯一需要做的就是禁用所有 CAMELLIA 密码。

我在 NGINX 中的配置是:

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384;

所以我只需将其添加:!CAMELLIA到行尾,现在它是:

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384:!CAMELLIA;

我重启了 nginx 很多次,但 CAMELLIA 仍然正常工作。我在这里发现了类似的问题nginx 似乎忽略了 ssl_ciphers 设置并尝试阻止它几分钟,但没有帮助。

有谁能够帮助我?

答案1

确保你ssl_ciphershttp阻止,以便影响所有服务器:

http {
    ...
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ...
}

之后,重新启动nginx。

相关内容