Я хочу, чтобы SSL моего Nginx на сайте по умолчанию поддерживал только TLSv1.1, чтобы добиться эффекта «неподдерживаемого протокола шифрования» браузера, не позволяя другим напрямую получать доступ к моему исходному IP-адресу. Но если я установлю в файле конфигурации сайта по умолчанию поддержку только TLSv1.1, другие сайты также не будут поддерживать TLSv1.2 и TLSv1.3, что меня сбивает с толку. Есть идеи?
решение1
1: Предотвратите утечку информации об отпечатках пальцев, связанной с сертификатами, используя ssl_reject_handshake on;
default_server для отклонения SSL-рукопожатия. Для этого требуется ваш nginx >= 1.19.4 (если включено, SSL-рукопожатия в блоке сервера будут отклоняться.)
2: Если ваша версия nginx не поддерживает «метод 1», то вы можете использовать самоподписание, чтобы предотвратить утечку соответствующей информации об отпечатках пальцев из сертификата.
Кстати: можно вернуть нестандартный код 444, закрывающий соединение без отправки заголовка ответа.
Извините, английский не мой родной язык, надеюсь, вы поймете :)