1. ホーム
  2. ssl

[解決済み] NET::ERR_SSL_OBSOLETE_VERSIONとChromeの関係

2022-02-27 13:44:04

質問

AWS ec2でホストされたノードアプリを持っており、letsencrypt証明書をインストールしました。APIにアクセスしようとすると、エラーが発生します。

接続 - 時代遅れの接続設定 このサイトへの接続は、TLS 1.0、ECDHE_RSA、AES_256_CBC with HMAC-SHA1を使用して暗号化と認証が行われています。 TLS 1.0は時代遅れです。TLS 1.2以降を有効にしてください。 AES_256_CBCは廃止されました。AES-GCMベースの暗号スイートを有効にしてください。

letsencryptからSSL証明書が正しく表示される

設定ファイルにTLS 1.2 AES-GCMベースの暗号を設定しました。

nginx バージョン: nginx/1.16.1 オープンSSL 1.0.2k-fips 2017年1月26日

何かご指摘はありますか?

以下は、私の nginx.conf ファイルのスニペットです。

http {
include         /etc/nginx/mime.types;
default_type    application/octet-stream;

access_log  /var/log/nginx/access.log  main;

sendfile            on;
tcp_nopush          on;
tcp_nodelay         on;

keepalive_timeout   65;
types_hash_max_size 2048;



server {
    listen       80;
listen       443 ssl;
    server_name  localhost;
    root         /usr/share/nginx/html;

    ssl_certificate      /opt/ssl/cacert.pem;
    ssl_certificate_key  /opt/ssl/privkey.pem;
    ssl_session_timeout  5m;
    ssl_protocols SSLv2 TLSv1.2 TLSv1.1 TLSv1;
    #ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers   on;

    #charset koi8-r;

   
}

server {
    listen       443 ssl http2;
    server_name  aws.qureme.co.in;
    root         /usr/share/nginx/html;

    ssl_certificate /etc/letsencrypt/live/aws.qureme.co.in/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/aws.qureme.co.in/privkey.pem;

    ssl_session_timeout  5m;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1 TLSv1.3;
    ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    ssl_ecdh_curve secp384r1;
    ssl_session_tickets off;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8;


}

}

解決方法は?

2つのサーバーブロック(IPアドレス用とドメイン名用の電話機)で、異なるプロトコルや暗号を設定した場合に問題が発生しました。

ステファン・ウルリッヒさん、ありがとうございました。 を入力してください。以下は、修正した仕様です。

server {
        listen       80;
    listen       443 ssl;
        server_name  localhost;
        root         /usr/share/nginx/html;

        ssl_certificate      /opt/ssl/cacert.pem;
        ssl_certificate_key  /opt/ssl/privkey.pem;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1.2 TLSv1.1 TLSv1 TLSv1.3;
        ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
        ssl_prefer_server_ciphers   on;
      
    }

    server {
        listen       443 ssl http2;
        server_name  aws.qureme.co.in;
        root         /usr/share/nginx/html;

        ssl_certificate /etc/letsencrypt/live/aws.qureme.co.in/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/aws.qureme.co.in/privkey.pem;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1.2 TLSv1.1 TLSv1 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;


    }