Tôi có một máy chủ chạy Debian 8. Vâng, một máy chủ khá cũ. Nhưng có một cái gì đó thực sự kỳ lạ về nó. Tôi không thể kết nối với nó qua HTTPS:
$ curl -sSLv https://example.com
* Đang thử xx.yyy.xx.yyy:443...
* Đã kết nối với cổng example.com (xx.yyy.xx.yyy) 443 (#0)
* ALPN, cung cấp h2
* ALPN, cung cấp http/1.1
* Tệp CA: /etc/ssl/certs/ca-certificates.crt
* CApath: không có
} [dữ liệu 5 byte]
* TLSv1.3 (OUT), bắt tay TLS, Client hello (1):
} [Dữ liệu 512 byte]
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL liên quan đến example.com:443
* Đóng kết nối 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL liên quan đến example.com:443
$ sslscan ví dụ.com
Phiên bản: 2.0.11
OpenSSL 1.1.1m Ngày 14 tháng 12 năm 2021
Đã kết nối với xx.yyy.xx.yyy
Kiểm tra máy chủ SSL example.com trên cổng 443 bằng tên SNI example.com
Giao thức SSL/TLS:
SSLv2 bị vô hiệu hóa
SSLv3 bị vô hiệu hóa
TLSv1.0 bị vô hiệu hóa
TLSv1.1 bị vô hiệu hóa
TLSv1.2 bị vô hiệu hóa
TLSv1.3 bị vô hiệu hóa
SCSV dự phòng TLS:
Kết nối không thành công - không thể xác định hỗ trợ SCSV Dự phòng TLS
Đàm phán lại TLS:
Đàm phán lại phiên không được hỗ trợ
Nén TLS:
Phiên bản OpenSSL không hỗ trợ nén
Xây dựng lại với gói zlib1g-dev để hỗ trợ zlib
đau lòng:
(Các) mật mã máy chủ được hỗ trợ:
Không thể truy xuất thông tin chứng chỉ.
$ dpkg -l | grep openssl
ii openssl 1.0.1t-1+deb8u12 AMD64 Bộ công cụ Lớp cổng bảo mật - tiện ích mật mã
$cat /etc/nginx/nginx.conf | grep ssl
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Bỏ SSLv3, tham khảo: POODLE
bật ssl_prefer_server_ciphers;
$ dpkg -l | grep nginx
ii nginx 1.6.2-5 tất cả máy chủ web/proxy nhỏ, mạnh mẽ, có thể mở rộng
ii nginx-common 1.6.2-5 tất cả máy chủ web/proxy nhỏ, mạnh mẽ, có thể mở rộng - các tệp phổ biến
ii nginx-full 1.6.2-5 amd64 nginx web/máy chủ proxy (phiên bản tiêu chuẩn)
Để so sánh nó với một máy chủ Debian 8 khác:
$ sslscan ví dụ2.com
Phiên bản: 2.0.11
OpenSSL 1.1.1m Ngày 14 tháng 12 năm 2021
Đã kết nối với xx.xxx.xx.xxx
Kiểm tra máy chủ SSL example2.com trên cổng 443 bằng tên SNI example2.com
Giao thức SSL/TLS:
SSLv2 bị vô hiệu hóa
SSLv3 bị vô hiệu hóa
Đã bật TLSv1.0
Đã bật TLSv1.1
Đã bật TLSv1.2
TLSv1.3 bị vô hiệu hóa
SCSV dự phòng TLS:
Máy chủ hỗ trợ TLS Dự phòng SCSV
Đàm phán lại TLS:
Hỗ trợ đàm phán lại phiên an toàn
Nén TLS:
Phiên bản OpenSSL không hỗ trợ nén
Xây dựng lại với gói zlib1g-dev để hỗ trợ zlib
đau lòng:
TLSv1.2 không dễ bị chảy máu
TLSv1.1 không dễ bị chảy máu
TLSv1.0 không dễ bị chảy máu
(Các) mật mã máy chủ được hỗ trợ:
TLSv1.2 256 bit được ưu tiên ECDHE-RSA-AES256-GCM-SHA384 Đường cong P-256 DHE 256
Chấp nhận TLSv1.2 256 bit ECDHE-RSA-AES256-SHA384 Curve P-256 DHE 256
Chấp nhận TLSv1.2 256 bit ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Chấp nhận TLSv1.2 256 bit DHE-RSA-AES256-GCM-SHA384 DHE 1024 bit
Chấp nhận TLSv1.2 256 bit DHE-RSA-AES256-SHA256 DHE 1024 bit
Chấp nhận TLSv1.2 256 bit DHE-RSA-AES256-SHA DHE 1024 bit
Chấp nhận TLSv1.2 256 bit DHE-RSA-CAMELLIA256-SHA DHE 1024 bit
Chấp nhận TLSv1.2 256 bit AES256-GCM-SHA384
Chấp nhận TLSv1.2 256 bit AES256-SHA256
Đã chấp nhận TLSv1.2 256 bit AES256-SHA
Chấp nhận TLSv1.2 256 bit CAMELLIA256-SHA
Chấp nhận TLSv1.2 128 bit ECDHE-RSA-AES128-GCM-SHA256 Curve P-256 DHE 256
Chấp nhận TLSv1.2 128 bit ECDHE-RSA-AES128-SHA256 Curve P-256 DHE 256
Chấp nhận TLSv1.2 128 bit ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Chấp nhận TLSv1.2 128 bit DHE-RSA-AES128-GCM-SHA256 DHE 1024 bit
Chấp nhận TLSv1.2 128 bit DHE-RSA-AES128-SHA256 DHE 1024 bit
Chấp nhận TLSv1.2 128 bit DHE-RSA-AES128-SHA DHE 1024 bit
Chấp nhận TLSv1.2 128 bit DHE-RSA-CAMELLIA128-SHA DHE 1024 bit
Đã chấp nhận TLSv1.2 128 bit AES128-GCM-SHA256
Chấp nhận TLSv1.2 128 bit AES128-SHA256
Chấp nhận TLSv1.2 128 bit AES128-SHA
Chấp nhận TLSv1.2 128 bit CAMELLIA128-SHA
TLSv1.1 256 bit được ưu tiên ECDHE-RSA-AES256-SHA Đường cong P-256 DHE 256
Chấp nhận TLSv1.1 256 bit DHE-RSA-AES256-SHA DHE 1024 bit
Chấp nhận TLSv1.1 256 bit DHE-RSA-CAMELLIA256-SHA DHE 1024 bit
Chấp nhận TLSv1.1 256 bit AES256-SHA
Đã chấp nhận TLSv1.1 256 bit CAMELLIA256-SHA
Chấp nhận TLSv1.1 128 bit ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Chấp nhận TLSv1.1 128 bit DHE-RSA-AES128-SHA DHE 1024 bit
Chấp nhận TLSv1.1 128 bit DHE-RSA-CAMELLIA128-SHA DHE 1024 bit
Chấp nhận TLSv1.1 128 bit AES128-SHA
Đã chấp nhận TLSv1.1 128 bit CAMELLIA128-SHA
TLSv1.0 256 bit được ưu tiên ECDHE-RSA-AES256-SHA Đường cong P-256 DHE 256
Chấp nhận TLSv1.0 256 bit DHE-RSA-AES256-SHA DHE 1024 bit
Chấp nhận TLSv1.0 256 bit DHE-RSA-CAMELLIA256-SHA DHE 1024 bit
Đã chấp nhận TLSv1.0 256 bit AES256-SHA
Chấp nhận TLSv1.0 256 bit CAMELLIA256-SHA
Chấp nhận TLSv1.0 128 bit ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Chấp nhận TLSv1.0 128 bit DHE-RSA-AES128-SHA DHE 1024 bit
Chấp nhận TLSv1.0 128 bit DHE-RSA-CAMELLIA128-SHA DHE 1024 bit
Chấp nhận TLSv1.0 128 bit AES128-SHA
Chấp nhận TLSv1.0 128 bit CAMELLIA128-SHA
(Các) Nhóm trao đổi khóa máy chủ:
TLSv1.2 128 bit secp256r1 (NIST P-256)
Chứng chỉ SSL:
Thuật toán chữ ký: sha256WithRSAEencryption
Độ bền khóa RSA: 4096
Chủ đề: example2.com
Tên thay thế: DNS:example2.com
Tổ chức phát hành: R3
Không hợp lệ trước: 17/12 21:00:13 2021 GMT
Không hợp lệ sau: 17 tháng 3 21:00:12 2022 GMT
$ dpkg -l | grep openssl
ii openssl 1.0.1k-3+deb8u2 AMD64 Bộ công cụ Lớp cổng bảo mật - tiện ích mật mã
$cat /etc/nginx/nginx.conf | grep ssl
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Bỏ SSLv3, tham khảo: POODLE
bật ssl_prefer_server_ciphers;
$ dpkg -l | grep nginx
ii nginx 1.6.2-5 tất cả máy chủ web/proxy nhỏ, mạnh mẽ, có thể mở rộng
ii nginx-common 1.6.2-5 tất cả máy chủ web/proxy nhỏ, mạnh mẽ, có thể mở rộng - các tệp phổ biến
ii nginx-full 1.6.2-5 amd64 nginx web/máy chủ proxy (phiên bản tiêu chuẩn)
Có gì sai với máy chủ đầu tiên? Làm cách nào để https hoạt động?
