Ho un NGINX che funge da proxy inverso per i nostri siti e funziona molto bene. Per i siti che richiedono SSL ho seguito raymii.org per essere sicuro di avere il punteggio SSLLabs più forte possibile. Uno dei siti deve essere conforme allo standard PCI DSS, ma in base all'ultima scansione TrustWave ora non riesce a causa dell'attivazione di TLS 1.0.
A livello http in nginx.conf ho:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Per il server specifico ho:
ssl_protocols TLSv1.1 TLSv1.2;
Ho modificato le cifre, spostato le cose fuori dal livello http e su ciascun server del sito ssl, ma a prescindere da ciò che eseguo:
openssl s_client -connect www.example.com:443 -tls1
Ottengo una connessione valida per TLS 1.0. SSLLabs mette la configurazione di nginx per il sito come A ma con TLS 1.0 quindi credo che il resto della mia configurazione sia corretta, semplicemente non disattiverà TLS 1.0.
Pensi su cosa potrei perdere?
openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64
nginx -v
nginx version: nginx/1.8.0