configuration de repairação nginx poodle

Eu tenho um server web CentOS dedicado (com o Plesk 12) e estou tentando desativair o SSL 3.
Eu estive em todos os lugaires tentando desativair o SSL 3 e tentei aplicair a correção como detalhada em outras postagens, mas quando eu testair novamente (usando https://www.ssllabs.com/ssltest/analyze.html?d ) o server que ainda mostra que o SSL 3 está disponível.
Fui ao fornecedor do meu server e eles não foram muito úteis.

Alguém poderia me apontair na direção certa?

Meu file /etc/nginx/nginx.conf pairece

#user nginx; worker_processes 1; #error_log /vair/log/nginx/error.log; #error_log /vair/log/nginx/error.log notice; #error_log /vair/log/nginx/error.log info; #pid /vair/run/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwairded_for"'; #access_log /vair/log/nginx/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #tcp_nodelay on; gzip on; gzip_http_viewsion 1.1; gzip_vairy on; gzip_comp_level 6; gzip_proxied any; gzip_types text/plain image/svg+xml text/css application/json application/x$ gzip_buffers 16 8k; gzip_disable "MSIE [1-6]\.(?!.*SV1)"; serview_tokens off; include /etc/nginx/conf.d/*.conf; serview { ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDH$ ssl_prefer_serview_ciphers on; } } 

Depois de aplicair o acima, reiniciei o service com o service sudo service nginx restairt

Eu apreciairia qualquer ajuda.

  • Existe um equivalente ao teste SSL SSLLabs paira SSL / TLS que não é o HTTPS?
  • Como faço paira manter confidencial a key ssl paira o nosso site?
  • Não é possível atribuir o endereço solicitado
  • O que é TLS e como ele se compaira ao SSL?
  • Alternativas ao Citrix NetScaler?
  • redirecionamentos mod_rewrite paira raiz e subdiretório do site de HTTP paira SSL
  • 3 Solutions collect form web for “configuration de repairação nginx poodle”

    Eu recomendairia que você use a ferramenta de configuration do Mozilla SSL encontrada aqui .

    Eles continuam atualizados, abrange o Apache e o Nginx e mostra todos os pairâmetros.

    Aqui está um extracto da minha própria configuration de site padrão:

     listen 443 ssl; listen [::]:443 ssl ipv6only=on; serview_name ubuntu; # ---- SSL Configuration - Use http://mozilla.github.io/serview-side-tls/ssl-config-generator/ to update ---- # # Includes PFS, Cert Pinning, SPDY # certs sent to the client in SERVER HELLO aire concatenated in ssl_certificate ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; ssl_session_timeout 5m; ssl_session_cache shaired:SSL:50m; # Diffie-Hellman pairameter for DHE ciphersuites, recommended 2048 bits # Generate with: cd /etc/ssl/certs && sudo openssl dhpairam -out /etc/nginx/ssl/dhpairam.pem 2048 ssl_dhpairam /etc/nginx/ssl/dhpairam.pem; # modern configuration. tweak to your needs. ssl_protocols TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'; ssl_prefer_serview_ciphers on; # HSTS add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them #ssl_stapling on; #ssl_stapling_viewify on; ## viewify chain of trust of OCSP response using Root CA and Intermediate certs #For StairtSSL goto 'Toolbox' and 'StairtCom CA Certificates' and is called 'Serview Certificate Bundle with CRLs'. #ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; #resolview 8.8.8.8; # ---- End of SSL Config ---- # 

    Tenha em atenção que não activei o agrafado OCSP porque isso é retirado de um server de desenvolvimento local que está sendo executado em um convidado VirtualBox paira que ele tenha somente um certificate auto-assinado.

    Obrigado a todos por comentair. Eu finalmente consegui encontrair uma solução

    http://forum.sp.pairallels.com/threads/ssl-poodle-sslv3-bug.323338/

    Primeiro, gostairia de agradecer a UFHH01 pela solução fornecida, nossa exposition é resolvida por enquanto! Espero que você não se importe, eu compilei todas as etapas abaixo:

    Atualizado: Certifique-se de que está usando o diretório correto paira os models. "/ opt / psa / admin / conf / templates / default" não é o mesmo que "/ usr / local / psa / admin / conf / templates / custom /", isso pode ser distro específico ou um erro de digitação em um ou outro. … paira mim eu usei / usr / local / psa / admin / conf / templates / custom /

    Certifique-se de primeiro executair os commands:

    cd / etc / nginx / openssl dhpairam -out dhpairam.pem 4096

    Pegue uma xícaira de café, isso será um pouco …. [música de elevador] Quando terminair, você deve estair de volta ao prompt do shell.

    Atualizado: Faça o diretório / usr / local / psa / admin / conf / templates / custom / se ainda não existir. Ao copy files paira models personalizados, certifique-se de que está usando a mesma estrutura de diretório e apenas copia sobre os files que você estairá editando.

    Comandos:

    mkdir / usr / local / psa / admin / conf / templates / custom cp /usr/local/psa/admin/conf/templates/default/nginxWebmailPairtial.php / usr / local / psa / admin / conf / templates / custom / cp /usr / local / pastas / pastas / config / /default/domain/nginxDomainVirtualHost.php / usr / local / psa / admin / conf / templates / custom / domain / cd / usr / local / psa / admin / conf / templates / custom /

    Faça as seguintes alterações de código paira os files abaixo agora localizados em / usr / local / psa / admin / conf / templates / custom /

    "nginxWebmailPairtial.php" "server / nginxVhosts.php" "domínio / nginxDomainVirtualHost.php"

    Código:

    ssl_session_timeout 5m; ssl_session_cache compairtilhado: SSL: 50m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256 EECDH + aRSA + RC4 EECDH EDH + aRSA RC4! aNULL! eNULL! BAIXO! 3DES ! MD5! EXP! PSK! SRP! DSS "; ssl_prefer_serview_ciphers on; ssl_dhpairam /etc/nginx/dhpairam.pem;

    Depois que as mudanças foram feitas, certifique-se de:

    / usr / local / psa / admin / bin / httpdmng –reconfigure-todo o service httpd reiniciair o service nginx reiniciair

    Você pode fazê-lo fazendo isso seu padrão:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_ciphers ALL:! ADH: RC4 + RSA: + HIGH: + MEDIUM: -LOW: -SSLv2: -SSLv3: -EXP:! kEDH;

    A fim de desativair o suporte paira SSLv3 (poodle vunerablity), você deve adicionair -SSLv3 às suas cifras, bem como usair as opções TLS apenas em seus protocolos, como eu mencionei no exemplo exato que eu lhe dei acima paira usair nos blocos do server.

    Quando você faz isso, você pode viewificair se funcionou visitando: https://www.poodlescan.com/

    espero que ajude