我正在尝试代理使用自签名证书运行的旧服务器。
简单的 nginx 配置:
server {
listen 8009;
location / {
proxy_ssl_verify off;
proxy_ssl_session_reuse off;
proxy_pass https://192.168.10.20:8009/;
}
}
我在 nginx 日志中收到 SSL 握手错误。
2018/05/02 11:31:39 [crit] 3500#2284: *1 SSL_do_handshake() failed (SSL: error:14082174:SSL routines:ssl3_check_cert_and_algorithm:dh key too small) while SSL handshaking to upstream, client: 127.0.0.1, server: , request: "GET /ping HTTP/1.1", upstream: "https://192.168.10.20:8009/ping", host: "localhost:8009"
我希望添加“proxy_ssl_verify off;” 会忽略所有 SSL 错误,但似乎不会。
ssl3_check_cert_and_algorithm:dh 密钥太小
问题是旧服务器提供的 DH 密钥被认为是不安全的(堵塞攻击)。这与证书验证无关,因此尝试禁用证书验证不会有帮助 - 而且无论如何都是一个坏主意。
相反,这个问题需要在服务器端修复,以提供更强的 DH 参数。或者,可以尝试通过使用proxy_ssl_ciphers参数来强制 nginx 首先不使用 DH 密码。可以选择哪些密码取决于旧服务器支持的内容,但您可以尝试类似的HIGH:!DH参数,它允许 nginx 提供除 DH 密码之外的所有强密码。
| 归档时间: |
|
| 查看次数: |
7963 次 |
| 最近记录: |