Добрый день!
Подскажите, пожалуйста, как узнать значение по умолчанию для директивы
proxy_ssl_ciphers DEFAULT;
Добрый день.
Как и сказано в документации:
Полный список можно посмотреть с помощью команды “openssl ciphers”
Нет. Без указания этой директивы у меня не работает проксирование, не происходит handshake с ошибкой dh key too small.
А когда я прописываю все варианты из команды openssl ciphers, то все начинает работать.
Похоже, что openssl устаревшие шифры по умолчанию не использует.
Данная опция передает значение в библиотеку OpenSSL как есть, поэтому поведение нужно смотреть в документации к той версии OpenSSL, которую вы используете.
Например, вот мануал для 3.3: openssl-ciphers - OpenSSL Documentation - плюс на поведение могут влиять настройки OpenSSL библиотеки в виде openssl config-файла. Системный можно поискать в путях, которые выдает команда openssl version -d. В дистрибутивах, типа убунты, часто прописывают системный запрет на использование старых шифров через параметр сборки:
$ openssl version -a
... -DOPENSSL_TLS_SECURITY_LEVEL=2 ...
Спасибо!