Howto Ssl

Установка сертификата nginx

listen 80;
        server_name cloudfox.com www.cloudfox.com
        access_log /var/log/nginx/access_cloudfox.com.log;
        error_log /var/log/nginx/error_cloudfox.com.log;
        listen       443 ssl;
        ssl_certificate     /etc/ssl/_cloudfox_com.pem;
        ssl_certificate_key /etc/ssl/_cloudfox_com.key;
        ssl_session_timeout  5m;
        ssl_prefer_server_ciphers on;
        ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
        ssl_dhparam /etc/ssl/dh4096.pem;
        ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA512:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:ECDH+AESGCM:ECDH+AES256:DH+AESGCM:DH+AES256:RSA+AESGCM:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2:!SSL3;

Системы мониторинга или проверки найстройки https ругаются на SSLv2. nginx

У Вас сайт настроен на nginx, все небезопасные протоколы выключены, а системы тестирования сайтов ругаются, что у Вас поддерживается небезопасный протокол SSLv2.

Проблема в том, что роутинг в nginx для https построен на SNI, а он поддерживается только в TLS. При этом, в nginx может быть настроен дефолтный сайт (/etc/nginx/conf.d/default.conf), где, обычно, включен sslv2 по-дефолту. Т.е. если подключиться к Вашему сайту с помощью SSLv2, nginx подключит пользователя и зароутит его на дефолтный сайт.

Решение: выключить дефолт или отключить там небезопасные протоколы. Но тогда клиенты с устаревшими браузерами не смогут к Вам подключиться (если включен редирект http→https).

Проверить, доступен ли у Вас сайт по SSLv2 можно командой:

openssl s_client -connect localhost:443 -ssl2

~~OWNERAPPROVE~~

Прочитал howto howto ssl
Yes(4) No(3) Clear

Yes:
admin, Олег Стрижеченко, Сергей Трошин, Nikolay Carbonsoft,

No:
, Krat Nikolay, Александр Ефименко,