我想让我的默认网站上的 Nginx SSL 只支持 TLSv1.1,达到浏览器“不支持的加密协议”的效果,阻止别人直接访问我的源 IP,但是如果我设置默认网站的配置文件只支持 TLSv1.1,其他网站也不会支持 TLSv1.2 和 TLSv1.3,这让我很困惑,有什么办法吗?
答案1
1:通过ssl_reject_handshake on;在 default_server 上使用来拒绝 SSL 握手,防止泄露与证书相关的指纹信息。这需要您的 nginx >= 1.19.4(如果启用,服务器块中的 SSL 握手将被拒绝。)
2:如果你的nginx版本不支持“方法一”,那么你可以使用自签名的方式来防止证书泄露相关指纹信息。
顺便说一句:您可以返回非标准代码 444 来关闭连接而不发送响应头。
抱歉,英语不是我的母语,希望你能理解:)