Hello! On Fri, Nov 16, 2018 at 03:33:41PM +0300, Evgeniy Berdnikov wrote:
> On Fri, Nov 16, 2018 at 02:23:52PM +0300, Maxim Dounin wrote: > > Проблема в том, что в Debian на системном уровне запрещены > > протоколы меньше TLS 1.2. Соответственно в вашей конфигурации > > оказываются запрещены вообще все протоколы - об этом и говорит > > ошибка "no protocols available". > > Действительно, изменение MinProtocol в системном конфиге openssl > решает проблему. Спасибо. > > > Исправить это можно, обновившись на nginx 1.15.3+, где > > соответствующая проблема полечена на уровне nginx[1], либо же > > убрав ограничение в системном конфиге OpenSSL и/или задав для > > nginx'а отдельный конфиг, без соответствующего ограничения. > > Каким образом можно задать для nginx отдельный конфиг > без системного ограничения на версии TLS? Конфиг для openssl, отличный от используемого по умолчанию, можно задать с помощью переменной окружения OPENSSL_CONF. > Предлагаю описание директив ssl_protocols и proxy_ssl_protocols > дополнить словами о том, что версия может быть ограничена в > системном конфиге openssl вплоть до некоторых версий nginx. > Хотя бы на сайте (в дистрибутивах с младшими версиями nginx > менять документацию уже поздно). Как я уже писал ранее, начиная с версии 1.15.3 nginx умеет бороться с попытками ограничить протоколы через конфиг OpenSSL'я, а равно с аналогичными ограничениями, заданными на уровне библиотеки. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
