如何關閉Nginx TLS 1.0/1.1 + 一直關不掉發現是cloudflare再搞~

最近再重新整理nginx設定

發現可以驗一下SSL等級

https://www.ssllabs.com/ssltest

 

然後拿到了B..

檢查之後發現是Nginx如果還開著TLS 1.0跟1.1,就會被打B

至於要怎麼關掉,其實就是去/etc/nginx/nginx.conf把TLS 1.0跟1.1拿掉

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE

改成

ssl_protocols TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE

 

你也可以用ag指令確認一下底下的site config有沒有自己獨立設定到

svg@svg-vm:/etc/nginx$ ag ssl_protocols
nginx.conf
53: #ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
54: ssl_protocols TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE

sites-available/ntex_blog
20:# ssl_protocols TLSv1.2 TLSv1.3;

sites-available/ntex_nextcloud
41: ssl_protocols TLSv1.2 TLSv1.3;

然後如果你有裝certbot,也可以檢查一下

/etc/letsencrypt/options-ssl-nginx.conf 有沒有類似ssl_protocols還包含1.0跟1.1的

如果都ok,理論上重啟nginx就可以了

但就是這個理論上,我鬼打牆了半小時…怎樣都還是只拿到B分

就算本地端裝了nmap驗了一下:

一直都有回報1.0跟1.1的存在..

後來找到 https://stackoverflow.com/questions/72379936/nginx-disable-tls-v1-0-v1-1-not-working

樓主也是鬼打牆,但是是被AWS鬼打牆。才想到可能是cloudflare proxy

於是乎,跑去cloudflare調整了一下~

就A+啦~

ref source:

How to remove TLSv1.0 / 1.1 and enable TLS 1.3 in Nginx …

https://snippetinfo.net/mobile/media/1604

Leave a comment 取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

Exit mobile version