Для моего веб-сайта (https://brejoc.com) я хотел настроить достойную конфигурацию HTTPS, которая будет также поддерживать версию 1.2 TLS. Большая часть современной поддержки браузеров это к настоящему времени. Таким образом, я генерировал сертификат с StartSSL. Все кроме Nignx 1.8.0-1+trusty1 прибывает из официальных репозиториев. Nginx был установлен от Панели запуска (http://ppa.launchpad.net/nginx/stable/ubuntu). Версия 1.0.1f-1ubuntu2.15 OpenSSL должна быть прекрасной также.
Соответствующая часть конфигурации Nginx похожа на это:
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
При проверке веб-сайта с https://www.ssllabs.com/ssltest говорит мне, что TLS1.2 не поддерживается. Я попробовал несколько других комбинаций шифра, но ничто не работало. Список шифра https://cipherli.st/не будет работать вообще.
Через чат мы обнаружили, что все кроме одной конфигурации сайта имели ssl_protocols TLSv1;
в их конфигурациях. Просто каждый имел ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
в конфигурации сайта. Мы удалили их всех и имели /etc/nginx/nginx.conf
определенный с ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
, который, кажется, решил их проблемы.