ブラウザの「サポートされていない暗号化プロトコル」の効果を実現し、他のユーザーがソース IP に直接アクセスできないようにするために、デフォルトの Web サイトの Nginx の SSL で TLSv1.1 のみをサポートするようにしたいのですが、デフォルトの Web サイトの構成ファイルで TLSv1.1 のみをサポートするように設定すると、他のサイトでも TLSv1.2 と TLSv1.3 がサポートされなくなり、混乱します。何かアイデアはありますか?
答え1
1: default_server で を使用して SSL ハンドシェイクを拒否することにより、証明書関連のフィンガープリント情報の漏洩を防ぎますssl_reject_handshake on;。これには、nginx >= 1.19.4 が必要です (有効にすると、サーバー ブロック内の SSL ハンドシェイクは拒否されます)。
2: nginx のバージョンが「方法 1」をサポートしていない場合は、自己署名を使用して、証明書から関連するフィンガープリント情報が漏洩するのを防ぐことができます。
ちなみに、非標準コード 444 を返すと、応答ヘッダーを送信せずに接続を閉じることができます。
申し訳ありませんが、英語は私の母国語ではないので、ご理解いただければ幸いです :)