地方エンジニアの学習日記

興味ある技術の雑なメモだったりを書いてくブログ。たまに日記とガジェット紹介。

nginx TLS1.2以降のみ許可する

www.cybertrust.co.jp

最近話題のtls1.0/1.1の無効化の話。tls1.0/1.1でしか通信ができない場合は問題だが1.0/1.1が有効でも問題はないがまあ使えないプロトコルを有効化しておく必要もないので無効化するためのチップス。

Module ngx_http_ssl_module

Syntax:  ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];
Default:    
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Context:    http, server

大した話はなくてssl_protocolsで使用を許可したいtlsのバージョンを記載するだけでOK。apacheみたいにallow/denyを書くこともなく使用することができる。

ただしtls1.3を使用したい場合は現状ソースビルドが必要でopensslも自前で用意する必要があるから注意。