J'ai un NGINX agissant en tant que proxy inverse pour nos sites et fonctionne très bien. Pour les sites qui ont besoin de SSL, j'ai suivi raymii.org pour m'assurer d'avoir un score SSLLabs aussi fort que possible. L'un des sites doit être conforme à la norme PCI DSS mais sur la base de la dernière analyse TrustWave échoue maintenant en raison de l'activation de TLS 1.0.
Au niveau http dans nginx.conf, j'ai:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Pour le serveur spécifique que j'ai:
ssl_protocols TLSv1.1 TLSv1.2;
J'ai changé de chiffrement, déplacé des choses hors du niveau http et vers chaque serveur de site ssl mais peu importe quand je lance:
openssl s_client -connect www.example.com:443 -tls1
J'obtiens une connexion valide pour TLS 1.0. SSLLabs définit la configuration nginx pour le site comme un A, mais avec TLS 1.0, je pense donc que le reste de ma configuration est correcte, il ne désactivera tout simplement pas TLS 1.0.
Réflexions sur ce que je pourrais manquer?
openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64
nginx -v
nginx version: nginx/1.8.0