我想弄清楚如何禁用 TLSv1 和 1.1 Nginx 并且只允许 1.2 上的连接。这是出于测试原因而不是在生产中使用,而且我一生都无法弄清楚为什么 Nginx 不会让我这样做。
Nginx SSL 配置:
ssl on;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:!aNULL:!MD5:!kEDH;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=262974383; includeSubdomains;";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
但出于某种原因,Nginx 仍在协商 1.0 和 1.1 连接。难道我做错了什么?我在 Ubuntu Server 14.04LTS 和 OpenSSL 1.0.1f 上使用 Nginx 1.7.10。