Nginx 加密套件配置不当，造成 SSL 无法建立连接

之前文章写了用 zabbix 自动发现功能，自动监控服务器上所有域名的 SSL 证书到期时间，文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间，有兴趣的可以看下

然后有小伙伴说它用的过程中，获取证书到期时间的脚本执行报错

如图，报错结果很明显，就是 ssl 握手失败，协议是 sslv3

获取 ssl 证书信息的脚本中，是通过 SSL.Context 构建上下文对象的，指定使用 TLSv1，但是报错是 sslv3

于是我在本地测试，我本地是没有问题的，我在脚本中添加输出链接协议版本

然后输出协议确实是使用了 TLSv1，这里 get_protocol_version 返回就是 int 型，769 是 tlsv1

于是，我让小伙伴把域名发我，我用脚本执行，报同样的错误

在执行 do_handshake，握手的时候就报错了，所以也没有输出建立连接的协议版本，没办法，只能抓包看了

抓到包，wireshark 分析，客户端 client hello 之后，就没有协商成功，关于 ssl 握手的话，之前也写过一篇文章Wireshark抓包帮你理清https请求流程，如果有兴趣，可以看看

这里分析客户端的这个 client hello 的包，查看加密套件

又问小伙伴要了 nginx 配置的加密套件

可以看到，和客户端的加密套件不匹配，所以这就是为什么握手不成功的原因，可以看到，小伙伴的加密套件设置的太严格了，所以我让他重新配置了加密套件，果然没有问题，可以正常建立连接

这里除了抓包，还可以通过 openssl 工具来建立连接，查看整个连接过程，比如通过 openssl s_client -connect xxx.com:443（这里端口要带，或者可以-h 查看使用方法）

另外说一下 nginx 中加密套件的配置，nginx 中的加密套件是通过 ssl_ciphers 指令指定的，加密套件格式通常就是以‘：’分隔，然后写在一行，一条加密套件包含哪些内容呢？

拿我让小伙伴配置的这条来说：ECDHE-RSA-AES128-GCM-SHA256

ECDHE：私钥交换算法

RSA：签名算法

AES128：对称加密算法

GCM-SHA256：签名算法

通常的加密套件就包含这几部分

后面的这部分 HIGH:!aNULL:!MD5:!RC4:!DHE

这部分是加密套件的一些宏定义，就是一个字符串，代表一类型加密套件，openssl 的 ciphers 可以查看加密套件，我们拿 HIGH 来看下

为了整齐，我用 column 列了一下，可以看到 HIGH 代表的一类型加密套件，有加密套件详细的版本号，和分开的几部分算法

所以这里 HIGH 代表的就是高级的加密套件，也就是密钥长度大于 128 位的，在 openssl 的 ciphers 中，还有 MEDIUM 和 LOW，但是 LOW 等已经在 openssl 1.0.2g 中禁用了，更多的关于 ciphers 的信息可以查看 openssl 官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html

总结，在 nginx 配置中，如果是普通服务，尽量不要配置特别严格的加密套件，避免出现加密套件不匹配，不兼容低版本的客户端