我设置 ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; 但是还是没有启用 SSLv3 听说某个版本移除了 SSLv3 支持,那么最后支持的是哪个
1
eason1874 2022-02-18 22:44:33 +08:00
只是默认关闭而已,并没有移除支持
除了在 ssl_protocols 启用,还要在 ssl_ciphers 配置 SSLv3 支持的算法 另外,如果是兼容老机器,要确定老机器支不支持 SNI ,早期 SSL 获取证书是通过 IP 获取的,并不携带域名。所以要兼容不支持 SNI 的机器,你得确保 https://ip 也返回了对应的域名证书,就是在 Nginx 没有配置域名的 default_server 配置也配置 SSL |
2
ZE3kr 2022-02-19 00:10:56 +08:00
有些发行版系统禁用了 SSLv3
https://askubuntu.com/questions/774760/openssl-s-client-connect-gmail-com443-ssl3-not-working 你自己 build 就行了 |
3
PolarBears 2022-02-19 01:26:08 +08:00
还有一点要注意的是 OpenSSL 1.1.0 以上版本默认不支持 3DES,需要自行编译 OpenSSL 开启 enable-weak-ssl-ciphers 选项.想要让旧系统如 XP 访问的话需要注意这一点.
|
4
xinge666 2022-02-19 01:58:40 +08:00 via iPhone
3 楼正解,编译加个参数即可支持弱加密。
|
6
louted OP @PolarBears 加了还是不行
|
7
titanium98118 2022-02-25 13:18:15 +08:00
跑一个老版本的 linux 虚拟机?
|