Nginx - Onveilige SSL versies uitschakelen

Om je website zo veilig mogelijk te houden is het van belang te zorgen dat deze alleen werkt met veilige protocollen. Het uitschakelen van onveilige protocollen is dan ook sterk aan te raden. Op dit moment zijn alle SSL protocollen onveilig, en zijn TLS 1.0 en TLS 1.1 gemarkeerd als end-of-life. TLS 1.2 is nog veilig, maar TLS 1.3 heeft de voorkeur.

In NGINX doe je dit door in je configuratie aan te geven welke protocollen wel gebruikt mogen worden. NGINX zal niet opgegeven protocollen vervolgens niet meer gebruiken.
Hieronder een voorbeeld configuratie, in de dik gedrukte regel geven we aan welke protocollen wel gebruikt mogen worden:

server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/ssl/uw_certificaat_bundel.crt;
ssl_certificate_key /etc/ssl/uw_privatekey.key;
ssl_protocols TLSv1.3;
server_name uw.website.nl;
access_log /var/log/nginx /nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root /home/www/public_html/uw.website.nl/public/;
index index.html;
}}

Herstart NGINX om de wijzigingen door te voeren:

sudo service nginx restart

Om te controleren of een website SSLv2 of SSLv3 toelaat, kun je een SSL check uitvoeren.

Je kunt ook de Mozilla SSL Configurator gebruiken om tot een juiste configuratie te komen.

point up