对于我的一个网站(https://brejoc.com) 我想设置一个不错的 HTTPS 配置,该配置也支持 TLS 版本 1.2。目前大多数现代浏览器都支持该版本。因此,我使用 StartSSL 生成了一个证书。除了 Nignx 1.8.0-1+trusty1 之外,其他所有版本都来自官方存储库。Nginx 是从 Launchpad (http://ppa.launchpad.net/nginx/stable/ubuntu)。OpenSSL 版本 1.0.1f-1ubuntu2.15 也应该没问题。
Nginx 配置的相关部分如下所示:
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
使用以下方式检查网站https://www.ssllabs.com/ssltest告诉我,不支持 TLS1.2。我尝试了其他几种密码组合,但都不起作用。https://cipherli.st/根本不起作用。
答案1
通过聊天,我们发现除了一个站点配置之外,其他所有站点配置都存在ssl_protocols TLSv1;问题。只有一个ssl_protocols TLSv1 TLSv1.1 TLSv1.2;站点配置存在问题。我们删除了所有站点配置,并确定/etc/nginx/nginx.conf了ssl_protocols TLSv1 TLSv1.1 TLSv1.2;哪些站点配置似乎解决了他们的问题。