我正在努力获得满分https://www.immuniweb.com/ssl/ 我唯一需要做的就是禁用所有 CAMELLIA 密码。
我在 NGINX 中的配置是:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384;
所以我只需将其添加:!CAMELLIA
到行尾,现在它是:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-
ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-
POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-
GCM-SHA384:!CAMELLIA;
我重启了 nginx 很多次,但 CAMELLIA 仍然正常工作。我在这里发现了类似的问题nginx 似乎忽略了 ssl_ciphers 设置并尝试阻止它几分钟,但没有帮助。
有谁能够帮助我?
答案1
确保你ssl_ciphers
把http阻止,以便影响所有服务器:
http {
...
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
...
}
之后,重新启动nginx。