Недавно я обновил контейнер DOCKER с NGINX, чтобы использовать репозиторий NGINX на nginx.org вместо версии дистрибутива Debian, и в целях безопасности мы вносим некоторые изменения в конфигурацию сервера, касающиеся SSL/TLS и т. д. Когда я сканирую один из серверные домены с Qualsys? scan на самом деле получает A, но не работает в некоторых старых браузерах. Глядя на файл журнала, я на самом деле вижу ошибки, в основном такие:
28.05.2022 02:41:14 [информация] 24#24: *12871 SSL_do_handshake() не удалось (SSL: ошибка: 1417A0C1: подпрограммы SSL: tls_post_process_client_hello: нет общего шифра) при квитировании SSL, клиент: 192.168.1.1, сервер : 0.0.0.0:443
28.05.2022 02:41:28 [информация] 24#24: *12874 SSL_do_handshake() не удалось (SSL: ошибка: 14209102: подпрограммы SSL: tls_early_post_process_client_hello: неподдерживаемый протокол) при квитировании SSL, клиент: 192.168.1.1, сервер: 0.0.0.0:443
2022/05/28 02:41:38 [информация] 24#24: *12877 SSL_do_handshake() не удалось (SSL: ошибка: 142090C1: подпрограммы SSL: tls_early_post_process_client_hello: нет общего шифра) при квитировании SSL, клиент: 192.168.1.1, сервер : 0.0.0.0:443
28.05.2022, 02:41:39 [крит] 24#24: *12878 SSL_do_handshake() не удалось (SSL: ошибка: 141CF06C: подпрограммы SSL: tls_parse_ctos_key_share: неверный общий ключ) при квитировании SSL, клиент: 192.168.1.1, сервер : 0.0.0.0:443
2022/05/28 02:41:43 [информация] 24#24: *12869 одноранговое соединение закрыто при квитировании SSL (104: соединение сброшено узлом) при квитировании SSL, клиент: 192.168.1.1, сервер: 0.0.0.0:443
28.05.2022 02:41:43 [информация] 24#24: *12872 одноранговое соединение закрыто при квитировании SSL (104: соединение сброшено узлом) при квитировании SSL, клиент: 192.168.1.1, сервер: 0.0.0.0:443
В блоке HTTP, а не в блоках сервера, у меня есть что-то подобное, и я пробовал несколько разных настроек для шифров и т. Д. Я не эксперт, но я предполагаю, что эти ошибки в некоторой степени связаны с этой конфигурацией. На самом деле я не вижу никаких ошибок на моем сервере разработки, просто на данный момент он находится в производстве, но сервер, кажется, все еще работает, за исключением ошибки 502 пару дней назад.
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers включен;
ssl_ciphers ECDH+AESGCM:ECDH+AES256-CBC:ECDH+AES128-CBC:DH+3DES:!ADH:!AECDH:!MD5:!kDHE; # !kDHE отключает отключение обмена ключами DHE
ssl_ciphers ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
Есть несколько других ошибок, которые могут быть просто предупреждениями, например.
28.05.2022 13:43:36 [предупреждение] 24#24: *13173 ответ восходящего потока буферизуется во временный файл /var/cache/nginx/fastcgi_temp/4/00/0000000004 при чтении восходящего потока
Просто ищу несколько советов о том, как решить эту проблему. Версия NGINX — 1.22.0, созданная непосредственно с сайта nginx.org.
