Не удается пройти сканирование PCI на соответствие уязвимости SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

Я пытаюсь пройти сканирование pci, я на сервере Ubuntu 12.04 lts и Nginx. Я перепробовал все, что знаю, и провел много исследований ... по-видимому, кажется, что нужно отключить параметр в OpenSSL, который я не могу найти, как это сделать.

Это результат сканирования:

Вектор инициализации протокола SSL / TLS Уязвимость раскрытия информации о реализации www (443 / tcp)

Оценка CVSS: средняя 4,3 - Ошибка

CVE-2011-3389

, и это предложение, предложенное компанией pci scanner:

Настройте серверы SSL / TLS на используйте только TLS 1.1 или TLS 1.2, если это поддерживается. Настройте серверы SSL / TLS для поддержки только наборов шифров, в которых не используются блочные шифры. Примените патчи, если они доступны.

OpenSSL использует пустые фрагменты в качестве контрмеры, если только опция «SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS» не указана при инициализации OpenSSL.

Я не знаю, как это сделать, я все перепробовал, пожалуйста, помогите, я схожу с ума :))

Как отключить эту опцию SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS ?? ?

Примечание: tlsv1.1 и tlsv1.2 сейчас не включены. Я обновился до последней версии всех версий (Ubuntu 12.04 lts, ​​nginx1.2.7 и openSSL 1.0.1). Я читал, что последние версии решают проблему (tls не поддерживается по умолчанию). Но я получаю точно такой же отчет со скана.

См. Ниже моего веб-сервера, я сделал все, что должен был, с помощью шифров, все еще получая тот же результат:

server {

    listen 192.xxx.xx.xx:443 ssl;

      server_name mydomain.org alias *.mydomain.org;

    keepalive_timeout   70;

    # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;

    ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

    ssl_prefer_server_ciphers on;

    ssl_protocols SSLv3 TLSv1.1 TLSv1.2;


    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;