请教一个nginx配置ssl ciphers没有生效的问题
白虹李李 2017-12-05 08:18:54 我由于需要做自动化,想把nginx服务器的ssl ciphers的安全性降低下去,不要使用DHE这类的Ephemeral cipher suite。
我根据网上查的资料,在nginx.conf文件里这样配置:
server {
listen 8080;
listen 443;
server_name localhost;
ssl on;
ssl_certificate ../cert/server.pem;
ssl_certificate_key ../cert/server.key;
ssl_prefer_server_ciphers On;
ssl_ciphers aRSA:!ECDHE:!EDH:!kDHE;
access_log logs/access_8080.log main;
但是client访问过去,还是按照的TSL_ECDHE_RSA_WITH_AES_265_CBC_SHA进行的连接。
我也重启过nginx,没有效果。
请问各位大侠,要怎么办,才能禁止nginx使用DHE或者EDH啊?
我在服务器上用
openssl ciphers -v 'aRSA:!ECDHE:!EDH:!kDHE'
来查看,结果如下:
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
NULL-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=None Mac=SHA256
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5