# #nginx #ssl #google-kubernetes-engine #nginx-ingress #cert-manager
Вопрос:
Я хочу отключить TLS 1.0 и TLS 1.1 со своего веб-сайта.
Веб — сайт размещен на движке Google cloud platform Kubernetes.
Я использовал этот вход Nginx https://cloud.google.com/community/tutorials/nginx-ingress-gke
А для SSL-сертификата я использовал cert-manager из этого руководства https://youtu.be/hoLUigg4V18
Я не понимаю, где мне следует делать изменения. Следует ли это делать с:
- входной файл YAML
- сертификат-менеджер
- балансировщик нагрузки на GCP
Я попытался создать политику SSL в GCP, но мне не удалось добавить цель, потому что это должен быть вход GCE, а не Nginx (я должен использовать Nginx из-за отсутствия необходимых метаданных в GCE) Я также попытался создать файл карты конфигурации, но все равно они включены.
Ответ №1:
Похоже, что по умолчанию nginx-вход по умолчанию использует только TLS 1.2 и 1.3, пожалуйста, ознакомьтесь с документацией о входе Nginx.
Вы можете проверить это с помощью openssl следующим образом:
Чтобы проверить, отключен ли TLSv1.0, выполните следующую команду:
echo|openssl s_client -servername -connect :443 -tls1 2>amp;1 | grep -c 'ssl handshake failure'
Чтобы проверить, отключен ли TLSv1.1, выполните следующую команду:
echo|openssl s_client -servername -connect :443 -tls1_1 2>amp;1 | grep -c 'ssl handshake failure'
Возвращаемое целое число, большее 0, означает, что TLSv1.0 или TLSv1.1 отключены
Проверка с помощью OpenSSL: TLSv1.2 включена
echo|openssl s_client -servername -connect :443 -tls1_2 2>amp;1 | grep -c 'ssl handshake failure'
Возвращаемое целое число 0 означает, что TLSv1.2 включен
Определите, какие версии и шифры TLS включены с помощью Nmap
Вы можете определить, какие версии и шифры TLS включены для каждого имени хоста, используя следующую команду:
nmap -sV --script ssl-enum-ciphers -p 443
Еще один инструмент находится в https://github.com/drwetter/testssl.sh.