Am actualizat recent un container DOCKER care rulează NGINX pentru a utiliza depozitul NGINX la nginx.org în loc de versiunea de distribuție Debian și, din motive de securitate, facem unele ajustări la configurația serverului în ceea ce privește SSL/TLS etc. Când scanez unul dintre domenii de server cu Qualsys ? scanarea primește de fapt un A, dar eșuează pentru unele dintre browserele mai vechi. Privind fișierul Jurnal, văd de fapt erori ca aceasta:
2022/05/28 02:41:14 [informații] 24#24: *12871 SSL_do_handshake() a eșuat (SSL: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher) în timp ce SSL: server handshake.16:191. : 0.0.0.0:443
2022/05/28 02:41:28 [informații] 24#24: *12874 SSL_do_handshake() a eșuat (SSL: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol), în timp ce SSL:68.192 server, în timp ce SSL:68.192 0.0.0.0:443
2022/05/28 02:41:38 [informații] 24#24: *12877 SSL_do_handshake() a eșuat (SSL: error:142090C1:SSL routines:tls_early_post_process_client_hello:no shared cipher), în timp ce client SSL: 1,681 handshake. : 0.0.0.0:443
2022/05/28 02:41:39 [crit] 24#24: *12878 SSL_do_handshake() a eșuat (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) în timp ce SSL handshake, client: 1891.11. : 0.0.0.0:443
2022/05/28 02:41:43 [informații] 24#24: *12869 conexiune închisă de la egal la egal în acordul de mână SSL (104: Resetarea conexiunii de către egal) în timpul acordării de mână SSL, client: 192.168.1.1, server: 0.0.0.0:443
2022/05/28 02:41:43 [informații] 24#24: *12872 conexiune închisă peer în acordul de mână SSL (104: resetarea conexiunii de către egal) în timpul acordării de mână SSL, client: 192.168.1.1, server: 0.0.0.0:443
În blocul HTTP, nu în blocurile server, am ceva de genul acesta și am încercat câteva setări diferite pentru cifruri, etc. Nu sunt un expert, dar presupun că acele erori sunt oarecum legate de acea configurație. De fapt, nu văd nicio eroare pe serverul meu de dezvoltare, doar în producție în acest moment, dar serverul pare să funcționeze în continuare, cu excepția unei erori 502 în urmă cu câteva zile.
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers activat;
ssl_ciphers ECDH+AESGCM:ECDH+AES256-CBC:ECDH+AES128-CBC:DH+3DES:!ADH:!AECDH:!MD5:!kDHE; # !kDHE dezactivează dezactivarea schimbului de chei DHE
# ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHACH1240:-SHACH3840:ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
Există alte câteva erori care ar putea fi doar avertismente, de ex.
2022/05/28 13:43:36 [avertisment] 24#24: *13173 un răspuns în amonte este stocat într-un buffer într-un fișier temporar /var/cache/nginx/fastcgi_temp/4/00/0000000004 în timpul citirii în amonte
Caut doar câteva indicații despre cum să rezolvi această problemă. Versiunea NGINX este 1.22.0 construită direct de pe nginx.org.
