Ich möchte, dass das SSL meines Nginx auf der Standardwebsite nur TLSv1.1 unterstützt, um den Effekt des „nicht unterstützten Verschlüsselungsprotokolls“ des Browsers zu erzielen, das andere daran hindert, direkt auf meine Quell-IP zuzugreifen. Wenn ich jedoch die Konfigurationsdatei der Standardwebsite so einstelle, dass nur TLSv1.1 unterstützt wird, unterstützen auch andere Sites TLSv1.2 und TLSv1.3 nicht, was mich verwirrt. Irgendwelche Ideen?
Antwort1
1: Verhindern Sie die Weitergabe von zertifikatsbezogenen Fingerabdruckinformationen, indem Sie ssl_reject_handshake on;den SSL-Handshake auf dem Standardserver ablehnen. Dies erfordert nginx >= 1.19.4 (Wenn aktiviert, werden SSL-Handshakes im Serverblock abgelehnt.)
2: Wenn Ihre Nginx-Version „Methode 1“ nicht unterstützt, können Sie die Selbstsignierung verwenden, um zu verhindern, dass die relevanten Fingerabdruckinformationen des Zertifikats preisgegeben werden.
Übrigens: Sie können den nicht standardmäßigen Code 444 zurückgeben, der eine Verbindung schließt, ohne einen Antwortheader zu senden.
Entschuldigung, Englisch ist nicht meine Muttersprache, ich hoffe, Sie können es verstehen :)