Nginx 加密套件配置不当,造成 SSL 无法建立连接
之前文章写了用 zabbix 自动发现功能,自动监控服务器上所有域名的 SSL 证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下
然后有小伙伴说它用的过程中,获取证书到期时间的脚本执行报错
如图,报错结果很明显,就是 ssl 握手失败,协议是 sslv3
获取 ssl 证书信息的脚本中,是通过 SSL.Context 构建上下文对象的,指定使用 TLSv1,但是报错是 sslv3
于是我在本地测试,我本地是没有问题的,我在脚本中添加输出链接协议版本
然后输出协议确实是使用了 TLSv1,这里 get_protocol_version 返回就是 int 型,769 是 tlsv1
于是,我让小伙伴把域名发我,我用脚本执行,报同样的错误
在执行 do_handshake,握手的时候就报错了,所以也没有输出建立连接的协议版本,没办法,只能抓包看了
抓到包,wireshark 分析,客户端 client hello 之后,就没有协商成功,关于 ssl 握手的话,之前也写过一篇文章Wireshark抓包帮你理清https请求流程,如果有兴趣,可以看看
这里分析客户端的这个 client hello 的包,查看加密套件
又问小伙伴要了 nginx 配置的加密套件
可以看到,和客户端的加密套件不匹配,所以这就是为什么握手不成功的原因,可以看到,小伙伴的加密套件设置的太严格了,所以我让他重新配置了加密套件,果然没有问题,可以正常建立连接
这里除了抓包,还可以通过 openssl 工具来建立连接,查看整个连接过程,比如通过 openssl s_client -connect xxx.com:443(这里端口要带,或者可以-h 查看使用方法)
另外说一下 nginx 中加密套件的配置,nginx 中的加密套件是通过 ssl_ciphers 指令指定的,加密套件格式通常就是以‘:’分隔,然后写在一行,一条加密套件包含哪些内容呢?
拿我让小伙伴配置的这条来说:ECDHE-RSA-AES128-GCM-SHA256
ECDHE:私钥交换算法
RSA:签名算法
AES128:对称加密算法
GCM-SHA256:签名算法
通常的加密套件就包含这几部分
后面的这部分 HIGH:!aNULL:!MD5:!RC4:!DHE
这部分是加密套件的一些宏定义,就是一个字符串,代表一类型加密套件,openssl 的 ciphers 可以查看加密套件,我们拿 HIGH 来看下
为了整齐,我用 column 列了一下,可以看到 HIGH 代表的一类型加密套件,有加密套件详细的版本号,和分开的几部分算法
所以这里 HIGH 代表的就是高级的加密套件,也就是密钥长度大于 128 位的,在 openssl 的 ciphers 中,还有 MEDIUM 和 LOW,但是 LOW 等已经在 openssl 1.0.2g 中禁用了,更多的关于 ciphers 的信息可以查看 openssl 官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html
总结,在 nginx 配置中,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
版权声明: 本文为 InfoQ 作者【运维研习社】的原创文章。
原文链接:【http://xie.infoq.cn/article/007b23fa6f3567d6bd116adad】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论