2

discourse docker我在 Google Compute Engine 上运行一个新建的图像。letsencrypt我按照演练将其转换为使用 https ,并从ssllabs获得 A+ 评级。但是,我使用的脚本代理不支持启用的两个 TLS 1.0 密码套件中的任何一个 [ TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA],我想添加TLS-DHE-RSA-WITH-AES-256-CBC-SHA开源 rebol3 fork ren-c 支持的。

我已经修改了我的web.ssl.template.yml文件

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA;


ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA;

并使用重建应用程序

sudo ./launcher rebuild app

但这不会改变可用的 cipher_suites。

我现在想知道我是否必须直接更改 nginx.conf,无论在哪里,而不是要求话语构建脚本来做......

4

2 回答 2

1

更改线路/var/discourse/templates/web.ssl.template.yml

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES128-SHA256$RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA;


ssl_ciphers 'HIGH:!aNULL:!MD5';

将支持的 TLS 1.0 套件更改为

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH secp384r1 (eq. 7680 bits RSA)   FS   256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84)    256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH secp384r1 (eq. 7680 bits RSA)   FS   128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41)

并且仍然给出了来自 ssllabs 的 A+ 评级。

于 2017-06-11T06:47:45.683 回答
0

  1. mkdir -p containers/templates

  2. cp templates/web.ssl.template.yml containers/templates

  3. 对文件大惊小怪

  4. 在部分中添加containers/templates/web.ssl.template.yml到您app.yml的文件templates

  5. 利润

于 2017-06-05T15:02:15.257 回答