LINUX.ORG.RU

Настройка ssl в nginx для последний версии Safari

 ,


0

1

Добрый вечер.
Есть у меня такая задача, сделать так что бы сайт открывался в последних версиях safari.
На данный момент сертификат работает везде кроме этого браузера, в чем проблема понять не могу, в логах пишет.

[info] 29240#0: *1978714 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher) while SSL handshaking, client: 195.9.24.62, server: 0.0.0.0:443
Еще раз повторюсь такое происходит только в последней версии браузера на iphone6 и макбуках.

Пробовал прописать это:

ssl_protocols = !SSlv2 !SSLv3
Результат нулевой все равно не работает.
Сам конфиг:
ssl on;
    ssl_certificate /etc/nginx/ssl/domain.crt;
    ssl_certificate_key /etc/nginx/ssl/domain.key;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem;

    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_session_timeout         10m;


    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/wosign-certs.pem;

    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSlv2 SSlv3;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!SSLv2:!SSLv3';

    add_header X-Content-Type-Options nosniff;
    add_header Strict-Transport-Security max-age=15768000;
    #add_header Public-Key-Pins 'pin-sha256="e2yT9ofIHn8Tj/dZhAWAPGbQieuno6irQMb0D83J/rw="; pin-sha256="x7F3E7KjN3h4uq7ro5uY1vn1PmSDp0psXCAN7hzUPDY="; max-age=1512000';
PS помогите разобраться, все что нужно было прописать в самом конфиге я сделал, со всеми браузерами работает, а именно с последней версией safari на маке и iphone6 не хочет.


Твоя строка ssl_ciphers очень мало алгоритмов шифрования оставляет. Как минимум, можно разрешить алгоритмы с хэш функцией SHA1.

Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от Vovka-Korovka

Как минимум, можно разрешить алгоритмы с хэш функцией SHA1.

Вот эти должны поддерживаться почти всеми

ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от Vovka-Korovka

Большое спасибо.
Вообщем если у кого возник такая проблема, то нужно просто пополнить список алгоритмов, в моем случае я сделал так:

EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

rdbn ()
Ответ на: комментарий от rdbn

DES-CBC3-SHA

Вот это зря, оно ужасно медленное, да и еще и безопасность хромает. Убери и добавь !3DES. Ну и в твоем варианте остаются алгоритмы без forward secrecy (ECDHE/DHE). Лучше к твоему начальному варианту добавить алгоритмы из моего 3-го поста.

Vovka-Korovka ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.