Назар Мокринский: срабатывание не ложное, если через опенссл проверить, он же пишет, что заходит по ссл3 через ECDHE-RSA-AES256-SHA - я точно не скажу, но кажется эта дрянь через TLS1.0 просачивается SSLv3
Назар Мокринский: в конфе осталось только это:
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 24h;
ssl_buffer_size 1400;
Последние обновления сегодня утром накатаны, nginx там не было
Назар Мокринский: это и есть строки из конфига виртуального сервера. При закоментировании я в первом варианте ответил, что улучшений нет. Наверно потому, что версия nginx не последняя, а POODLE attack только осенью вроде нашли.
Назар Мокринский: У меня там много чего про ssl, вот:
ssl_certificate /etc/nginx/conf/ssl-unified.crt;
ssl_certificate_key /etc/nginx/conf/ssl.key;
ssl_dhparam /etc/ssl/dhparam.pem;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
add_header Strict-Transport-Security "max-age=15768000;includeSubdomains;";
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
OS: Amazon Linux AMI 2014.09
Nginx: 1.6.2
OpenSSL: 1.0.1k
Комментирование так же не помогло, немного ухудшило - пропала поддержка Forward Secrecy.
Переустанавливать весь пакет не вариант, это боевая система.
