我有一个 NGINX 作为我们网站的反向代理,并且运行良好。对于需要 ssl 的站点,我关注raymii.org以确保拥有尽可能高的 SSLLabs 分数。其中一个站点需要符合 PCI DSS,但基于最新的 TrustWave 扫描,由于启用了 TLS 1.0,现在失败。
在 nginx.conf 中的 http 级别我有:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
对于特定的服务器,我有:
ssl_protocols TLSv1.1 TLSv1.2;
我已经更改了密码,将内容从 http 级别移到了每个 ssl 站点服务器,但无论何时运行:
openssl s_client -connect www.example.com:443 -tls1
我获得了 TLS 1.0 的有效连接。SSLLabs 将站点的 nginx 设置作为A但使用 TLS 1.0,所以我相信我的其余设置是正确的,它只是不会关闭 TLS 1.0。
关于我可能会错过什么的想法?
openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64
nginx -v
nginx version: nginx/1.8.0