我希望我的Nginx在預設網站上的SSL只支援TLSv1.1,以達到瀏覽器「不支援的加密協定」阻止別人直接存取我的來源IP的效果,但是如果我設定預設網站的設定檔只支援TLSv1.1,其他網站也不支援 TLSv1.2 和 TLSv1.3,這讓我很困惑,有什麼想法嗎?
答案1
ssl_reject_handshake on;1:透過在default_server上使用拒絕SSL握手來防止洩漏憑證相關的指紋資訊。這需要您的 nginx >= 1.19.4 (如果啟用,伺服器區塊中的 SSL 握手將被拒絕。)
2:如果你的nginx版本不支援“方法1”,那麼你可以使用自簽名來防止憑證洩露相關指紋資訊。
順便說一句:您可以返回非標準代碼 444 關閉連線而不發送回應頭。
抱歉,英語不是我的母語,希望你能理解:)