禁用NGINX中的TLS 1.0

我有一个NGINX作为我们网站的反向代理,并且运作良好.对于需要ssl的网站,我遵循 raymii.org以确保尽可能强大的SSLLabs分数.其中一个站点需要符合PCI DSS,但基于最新的TrustWave扫描现在因为启用了TLS 1.0而失败.在nginx.conf中的http级别我有：

1	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

对于我有的特定服务器：

1	ssl_protocols TLSv1.1 TLSv1.2;

我已经更改了密码,将事情从http级别移到了每个ssl站点服务器,但不管我运行的是什么：

1	openssl s_client -connect www.example.com:443 -tls1

我获得了TLS 1.0的有效连接. SSLLabs将网站的nginx设置为A但是使用TLS 1.0,所以我相信其余的设置是正确的,它不会关闭TLS 1.0.

关于我可能缺少什么的想法？

openssl version -a

OpenSSL 1.0.1f 6 Jan 2014

built on: Thu Jun 11 15:28:12 UTC 2015

platform: debian-amd64

nginx -v

nginx version: nginx/1.8.0

这里的问题是TLS协商的服务器名称指示部分是在协商连接本身之后完成的.并且在连接协商期间协商协议.如果将该虚拟主机配置为没有与其关联的其他虚拟主机的服务器上的IP地址,则可能无法为该虚拟主机强制执行TLS v1.0.因此,nginx将根据IP地址知道不允许TLS v 1.0.

from:http://www.voidcn.com/article/p-vufkevsw-btw.html