Comment désactiver TLSv1.0 et TLSv1.1 dans Nginx

J'essaie de comprendre comment désactiver TLSv1 et 1.1 Nginx et autoriser uniquement les connexions sur 1.2. C'est plus pour tester des objectifs que pour une utilisation industrielle et, même tuer, je ne peux pas comprendre pourquoi Nginx Cela ne me permet pas de le faire.

Configuration Nginx SSL:

ssl on;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:!aNULL:!MD5:!kEDH;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=262974383; includeSubdomains;";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;

Mais pour une raison quelconque Nginx est toujours d'accord sur des composés 1.0 et 1.1. Je fais quelque chose de mal? j'utilise Nginx 1.7.10 sur Ubuntu Server 14.04LTS de OpenSSL 1.0.1f.
Invité:

Emilie

Confirmation de:

De
http://nginx.org/en/docs/http/ ... ocols
pour

ssl_protocols

directif:

Option TLSv1.1 et TLSv1.2 pris en charge à partir de versions 1.1.13 et 1.0.12, C'est pourquoi quand quand OpenSSL version 1.0.1 ou supérieur est utilisé dans les versions plus anciennes nginx, Ces protocoles fonctionnent, mais ne peuvent pas être désactivés.

Dans les versions plus récentes, cela peut être vérifié avec

openssl

Commandes comme suit:

Sois sûr que TLS v1.2 Prise en charge:

openssl s_client -tls1_2 -connect example.org:443 < /dev/null

Sois sûr que TLS v1.1

ne pas

Prise en charge:

openssl s_client -tls1_1 -connect example.org:443 < /dev/null

Sois sûr que TLS v1.0

ne pas

Prise en charge:

openssl s_client -tls1 -connect example.org:443 < /dev/null

Si configuration nginx Comprend seulement

ssl_protocols TLSv1.2

Directive, alors supporté uniquement TLSv1.2. Si un

ssl_protocols TLSv1.1 and TLSv1.2

configuré, alors supporté uniquement TLSv1.1 et TLSv1.2. Testé par S.

openssl 1.0.1e

et

nginx 1.6.2

.

Pour répondre aux questions, connectez-vous ou registre