Занимаюсь защитой веб-страницы путем сертификата. Решил проверить его на qualys ssl labs. Увидел косяки и решил разбираться. Первым делом решил устранить угрозу POODLE attack. Вот что пишет проверка:This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Почитал статьи и понял что нужно отключить устаревший протокол sslv3, оставив лишь разные версии tls. (На самом деле из всех браузеров sslv3 использует только ie6 на windows xp, так что не страшно если у данных клиентов не получится войти). Веб-сервер nginx 1,8. Дальше копал по гайдам. Наткнулся на статью:
https://www.linode.com/docs/security/security-patc...
Сделал по мануалу. но после проверки, протокол до сих пор остается рабочий.
Мои настройки:
server {
listen 80;
listen 443 ssl;
server_name my.domain.ru;
ssl on;
ssl_certificate /path/to/cert/domain.crt;
ssl_certificate_key /path/to/key/domain.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
access_log /var/log/nginx/my.domain.ru.conf.access_log main;
error_log /var/log/nginx/my.domain.ru.conf.error_log info;
###root /var/www/localhost/htdocs;
location / {
proxy_pass
http://127.0.0.1:8080;
include /etc/nginx/proxy.conf;
}
}
Собственно, что где забыл подкрутить, чтобы избавиться от SSLv3 ?
Простой
