Debianを「安定」バージョン9.*から「ベータ」バージョン10.*に更新しました。
nginx 1.14があります。かつては「安定したバックポート」でしたが、今はDebian自体に含まれています。
nginxのTLSバージョンに奇妙な問題があります。
TLS 1.3が有効になり、1.2も有効になりますが、nginx設定に含まれていてもTLS 1.0/1.1が得られないようです。
https://www.htbridge.com/ssl/?id=QgSrZIuN
ああ、しかし、同じシステム上で実行されているDovecotでは、まだTLS 1.0 - 1.1 - 1.2 - 1.3が動作します。
https://www.htbridge.com/ssl/?id=cSArIbQQ
nginxサイト構成の関連ビット:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers kECDHE+CHACHA20:kECDHE+AESGCM:kDHE+AESGCM:kECDHE+AES+SHA:kDHE+AES+SHA:!AESCCM:!aNULL:!eNULL; ssl_prefer_server_ciphers on;
ssl_protocols
どちらか一方または両方を削除しようとしましたが、ssl_ciphers
実際には何も変更されませんでした。
これがnginx(アップストリーム)の意図的な変更ですか、それともDebianでパッケージ化されたものですか? openssl自体が変更されましたか?
nginxから1.0から1.3までのすべてのTLSバージョンを同時に有効にする方法はありますか?
ああ、Dovecotに関する注意事項...私はDebianのバージョンではなく、そのリポジトリでバージョンを実行しています。これはDebianに対して「テスト」されていない「安定的」なので、TLS 1.3を持たないOpenSSLに関連している可能性があります。 1.1 リンクをサポートします。
TLSのバージョンを指定する方法はnginxとは異なります。
ssl_min_protocol = TLSv1
Debian をアップデートする前は 1.0/1.1/1.2 で修正され、現在は 1.0 - 1.3 (含む) で解決されました。
nginxプロトコルを同じ方法で指定する方法があるかどうか疑問に思います(これにより、TLS 1.0 - 1.3がすべて提供されます)。
答え1
nginxフォーラムから回答を得ました。
https://forum.nginx.org/read.php?2,281984,282011#msg-282011
簡潔なバージョン:
/etc/ssl/openssl.conf 編集
このように変更してください。
[system_default_sect] -MinProtocol = TLSv1.2 +MinProtocol = TLSv1 CipherString = DEFAULT@SECLEVEL=2
これが変わったシステムデフォルト有効な最小プロトコルはTLS 1.2から1.0です。