如何關閉Nginx TLS 1.0/1.1 + 一直關不掉發現是cloudflare再搞~
最近再重新整理nginx設定
發現可以驗一下SSL等級
https://www.ssllabs.com/ssltest
然後拿到了B..
檢查之後發現是Nginx如果還開著TLS 1.0跟1.1,就會被打B
至於要怎麼關掉,其實就是去/etc/nginx/nginx.conf把TLS 1.0跟1.1拿掉
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
改成
ssl_protocols TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
你也可以用ag指令確認一下底下的site config有沒有自己獨立設定到
svg@svg-vm:/etc/nginx$ ag ssl_protocols
nginx.conf
53: #ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
54: ssl_protocols TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
sites-available/ntex_blog
20:# ssl_protocols TLSv1.2 TLSv1.3;
sites-available/ntex_nextcloud
41: ssl_protocols TLSv1.2 TLSv1.3;
然後如果你有裝certbot,也可以檢查一下
/etc/letsencrypt/options-ssl-nginx.conf 有沒有類似ssl_protocols還包含1.0跟1.1的
如果都ok,理論上重啟nginx就可以了
但就是這個理論上,我鬼打牆了半小時…怎樣都還是只拿到B分
就算本地端裝了nmap驗了一下:
一直都有回報1.0跟1.1的存在..
後來找到 https://stackoverflow.com/questions/72379936/nginx-disable-tls-v1-0-v1-1-not-working
樓主也是鬼打牆,但是是被AWS鬼打牆。才想到可能是cloudflare proxy
於是乎,跑去cloudflare調整了一下~
就A+啦~
ref source:
How to remove TLSv1.0 / 1.1 and enable TLS 1.3 in Nginx …
Leave a comment 取消回覆
很抱歉,必須登入網站才能發佈留言。