Я следовал руководству от 01/2018, чтобы усилить защиту конфигурации TLS nginx 1.10.3.
Теперь я устанавливаю SSL_ERROR_NO_CYPHER_OVERLAPFirefox 66.0.1 иhttps://www.ssllabs.com/ssltestговоритAssessment failed: Failed to communicate with the secure server
Это текущая конфигурация.
nginx -tвыполнено успешно.
server {
listen 80;
listen [::]:80;
server_name domain.tld;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name domain.tld;
root /var/www/domain.tld;
index index.html;
ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA;
ssl_prefer_server_ciphers on;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
# add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
server_tokens off;
location / {
try_files $uri $uri/ =404;
}
}
решение1
Ничего не известно о вашем сертификате, но я предполагаю, что вы используете сертификат RSA, поскольку он по-прежнему является наиболее распространенным. Только все ваши шифры — это шифры *-ECDSA-*, для которых требуется сертификат ECC.
Вместо того, чтобы придумывать свой вариант безопасности и не понимать, насколько он на самом деле безопасен и какие у него есть побочные эффекты, я рекомендую просто использовать рекомендуемые настройки, например те, что делаетГенератор конфигурации Mozilla SSL.