Nginx 配置 TLSv1.2 协议失效的问题

最新推荐文章于 2024-05-14 17:14:53 发布
最新推荐文章于 2024-05-14 17:14:53 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: Linux运维 文章标签: nginx https linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjjj064/article/details/120986533
版权

Nginx 配置 TLSv1.2 协议失效的问题

①、背景描述

所有业务出口都挂Nginx上,Nginx配置了证书但是通过https访问时谷歌浏览器、火狐、Edge浏览器报错,提示正在使用已过时的SSL版本,v1.0,建议使用v1.2或更高版本。

②、原因分析:

访问的域名得Nginx配置是设置的

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

度娘“nginx 证书v1.2失效”得知nginx配置了N多vhost,只要有其中一个配置文件配置了过时的ssl_protocols 那么所有的配置都会使用过时的版本。

检查Nginx配置

server
  {
       listen 443 ssl;
       server_name granfa.example.com;
       # ssl on;  //如果同时使用http和https,这个不要打开,注意
       ssl_certificate /usr/local/nginx/conf/cert/3893973__example.com.pem;
       ssl_certificate_key /usr/local/nginx/conf/cert/3893973__example.com.key;
       ssl_session_timeout 5m;
       ssl_protocols SSLv2 SSLv3 TLSv1; #就是这行配置造成的问题。
       ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
       ssl_prefer_server_ciphers on;

       location / {
               proxy_pass        http://granfa;
               allow 118.113.15.13;
               allow 10.20.11.0/24;
               allow 220.166.180.0/24;
               deny all;
              }
       location = /favicon.ico {
                log_not_found off;
                access_log off;
                }
     access_log  /usr/local/nginx/logs/granfa_443.log  mainlog_post;

 }

③、解决思路

3.1、查看Nginx所有vhost配置文件配置的ssl_protocols 值。

可以看到有很多配置还是使用的v1、v2、v3

[root@nginx-180-master-180 vhost_backup]# grep -rin "ssl_protocols" ./
./testmixingren.example.com.conf:18:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testfdd.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testbtpay.example.com.conf:22:              ssl_protocols SSLv2 SSLv3 TLSv1;
./maven.example.com.conf:29:    ssl_protocols TLSv1.1 TLSv1.2;  # 支持的协议
./j.example.com.conf:18:    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
./j.example.com.conf:19:    #ssl_protocols TLSv1.1 TLSv1.2;  # 支持的协议
./granfa.example.com.conf:29:       ssl_protocols SSLv2 SSLv3 TLSv1;
./ab.example.com.conf:18:              ssl_protocols SSLv2 SSLv3 TLSv1;
./alipaytest.example.com.conf:28:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testweburl.example.com.conf:22:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testnewrisk.example.com.conf:29:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testbaolifund.example.com.conf:22:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testpaymiddle.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./elk.example.com.conf:17:    ssl_protocols TLSv1.1 TLSv1.2;  # 支持的协议
./testmonth.example.com.conf:22:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testmiddle.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testrisk3.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testacs.example.com.conf:30:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testlogs.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./j.example.com.conf_backup:29:       ssl_protocols SSLv2 SSLv3 TLSv1;
./testcmprofit.example.com.conf:22:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testcps3.example.com.conf:21:              ssl_protocols SSLv2 SSLv3 TLSv1;
./testrisk2.example.com.conf:29:              ssl_protocols SSLv2 SSLv3 TLSv1;

3.2 替换所有低版本为v1.2

低版本:sl_protocols SSLv2 SSLv3 TLSv1
高版本:ssl_protocols TLSv1 TLSv1.1 TLSv1.2

sed -i "s/ssl_protocols SSLv2 SSLv3 TLSv1/ssl_protocols TLSv1 TLSv1.1 TLSv1.2/g" `grep -rl 'ssl_protocols SSLv2 SSLv3 TLSv1' ./`

3.3重新加载nginx配置

/usr/local/nginx/sbin/nginx -t    #检查配置是否有问题
/usr/local/nginx/sbin/nginx -s reload   #刷新配置

3.4再次通过浏览器访问https站点

经测试谷歌浏览器、Egde浏览器、360浏览器都是正常返回了。
在这里插入图片描述

石头-豆豆
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器如何启用tlsv1.2协议,Nginx开启TLSv1.3和HTTP/2
weixin_39949894的博客
08-13 1687
安装最新的openssl:https://www.openssl.org/source/,版本:openssl-1.1.1。安装命令:#下载解压tar -zxvf openssl-1.1.1.tar.gzcd openssl-1.1.1#编译安装./config shared zlibmakemake install#版本替换rm -rf /usr/bin/opensslrm -rf /usr/i...
nginx 配置跨域失效修复的方法示例
09-29
主要介绍了nginx 配置跨域失效修复的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
网络安全基础知识---nginx安全配置_nginx 的默认配置允许您使用不安全的日版tls协议(根据官方文档 ss protocs tls(2)
最新发布
2401_84545468的博客
05-14 698
初级黑客 1、网络安全理论知识(2天) ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周) ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周) ①W
nginx配置ssl时提示nginx: configuration file /www/server/nginx/conf/nginx.conf test failed
sunsineq的专栏
04-21 5273
nginx配置ssl时提示以下信息 nginx: [warn] duplicate value "TLSv1.1" in /www/server/panel/vhost/nginx/xxxxxxxxxxx.com.conf:42 nginx: [warn] duplicate value "TLSv1.2" in /www/server/panel/vhost/nginx/xxxxxxxxxxx.com.conf:42 nginx: [warn] duplicate value "TLSv1.3" in
nginx: [warn] invalid value "TLSv1.1"
S_simple_的博客
11-21 2589
Nginx保持着一个较快速的新,7年前是0.7.54。之前一直使用0.7.54的稳定版,但现在网站都是要支持HTTPS,所以要升级支持SSL,而且苹果应用指定要支持TLS v1.2,无奈Nginx 1.0.12版本以上才支持TLSv1.2。 所以 升级nginx吧骚年! ...
linux安装nginx + httpstls v1.2)
succeedcow的博客
01-11 1937
linux安装nginx + httpstls v1.2) 1.准备工作 1.nginx-1.17.9.tar.gz 2.openssl-1.1.1m.tar.gz nginx下载地址 openssl下载地址 2.安装 openssl安装 1.将openssl-1.1.1m.tar.gz拷贝到linux并解压 tar -xvf openssl-1.1.1m.tar.gz 2.进入openssl-1.1.1m文件夹编译安装 cd openssl-1.1.1m ./config make make
Nginx | nginx 配置 https 及各种问题解决
@范恒宾的博客
09-12 3298
在生产环境下,已经安装 Nginx,并能够正常运行。鉴于客户要求,将在运行的 nginx 由 http 协议改为 https 协议。并且,当输入http://域名/路径 时,能够跳转到 https://域名/路径
nginx配置引发的403问题解决办法
09-30
主要介绍了nginx配置引发的403问题解决办法的相关资料,需要的朋友可以参考下
nginx反向代理导致session失效问题解决
09-29
完成这个配置改后,重启Nginx服务,Session失效问题通常就能得到解决。 总结来说,Nginx反向代理导致Session失效问题主要是由于路径不匹配导致的Cookie无法正确保存和发送。通过使用`proxy_cookie_path`指令...
Linuxnginx配置https协议访问的方法
09-15
Linux环境中,配置Nginx以支持HTTPS协议访问是提升网站安全性和隐私保护的重要步骤。HTTPS协议通过SSL/TLS加密技术,可以确保数据传输过程中的安全性。以下是详细的配置步骤: 1. **编译安装Nginx并添加...
Nginx配置SSL
baidu_39267608的博客
09-02 479
Nginx配置示例(单向) cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/ { listen 443 ssl; server_name www.lsylinux.com; index index.html index.php; root /data/wwwroot/lsylinux.com; ...
Nginx 1.10.1 编译、配置文档(支持http_v2,TLSv1.2,openssl v1.0.2)
weixin_34075551的博客
06-27 86
1、安装常用工具及基础包: [root@localhost /]# yum -y install wget git vim make gcc gcc-c++ openssl-devel [root@localhost /]# mkdir -p /usr/local/nginx/module 2、安装pcre模块: [root@localhost /]# wget -P/us...
Nginx从入门到入坟(十二)- Nginx添加SSL证书
程序园@大Null
06-14 2838
Nginx的安全控制;如何使用SSL对流量进行加密;Nginx添加SSL的支持;Nginx的SSL相关指令;关于 Web 服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx 反向代理是如何来提升 Web 服务器的安全呢?这里就要说一下的概念了...
关于NGINX ciphers配置
热门推荐
浴血重生-学习空间
03-19 2万+
NGINX ciphers 配置CloudFlare 和 Mozilla 的 NGINX SSL 配置
nginx 使用SSL对流量进行加密
认知 行动 坚持
10-10 6720
说白了就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http. HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。 SSL(Secure Sockets Layer)安全套接层 TLS(Transport Layer Security)传输层安全 上述这两个是为网络通信提供安全及数据完整性的一种安全协议TLS和SSL在传输层和应用
nginx https配置tls1.2
wudinaniya的博客
11-27 1万+
nginx 配置文件(一般默认为nginx.conf)的server下配置如下代码: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 具体举例如下 server { listen 443 ssl; server_name www.xxx.com; ssl_certificate ...
Nginx-配置HTTPS证书(单向认证)
孟孟的博客
01-28 4782
1. 生成一个 CA 私钥: ca.key mkdir /home/nginx/ssl cd /home/nginx/ssl openssl genrsa -out ca.key 4096
服务器的tls协议怎么开启,如何仅在Nginx Web服务器中启用TLS1.2教程-学派吧
weixin_35741494的博客
08-06 1410
SSL2.0和SSL3.0具有许多已知的漏洞,如POODLE(CVE-2014-3566),这就是为什么最新的浏览器已经删除了对这些易受攻击的协议的支持。建议你将服务器移至使用TLS版本,特别是TLS 1.2。本篇文章将介绍关于使用Nginx Web服务器启用TLS 1.2。仅在Nginx中启用TLS1.2在服务器上的配置文件中编辑域的Nginx服务器块部分,并添加如下ssl_protocols设...
nginx 1.22 支持TLSv1.2?
06-08
是的,Nginx 1.22 支持 TLSv1.2 协议。不过需要注意的是,TLSv1.2 已经不再被视为最安全的加密协议,因为它存在一些安全漏洞。建议使用安全的协议,例如 TLSv1.3。 如果你想在 Nginx 1.22 中仅启用 TLSv1.2,可以在 Nginx配置文件中添加以下内容: ``` ssl_protocols TLSv1.2; ``` 这将禁用其他较旧的 SSL/TLS 协议,只启用 TLSv1.2 协议。同时,还可以添加以下内容以启用严格的加密算法: ``` ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ``` 这将启用 ECDHE 算法和 AES256 加密。当然,你也可以根据需要自定义加密算法。 最后,重新启动 Nginx 服务器以使改生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值