Session cache pas été détecté dans nginx
SSLlabs continue à afficher le message suivant, même après j'ai ajouté le ssl_session_cache
Session resumption (caching) No (IDs assigned but not accepted)
Voici ma configuration complète
server {
listen 443 spdy; #Change to 443 when SSL is on
ssl on;
ssl_certificate /etc/ssl/domain.com_bundle.crt;
ssl_certificate_key /etc/ssl/domain.com.key.nopass;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_buffer_size 8k;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/trustchain.crt;
resolver 8.8.8.8 8.8.4.4;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
#rest config goes here
}
OriginalL'auteur user2650277 | 2014-03-29
Vous devez vous connecter pour publier un commentaire.
SSL Labs ne présumez pas que SNI est disponible pour le client, de sorte qu'il ne teste que le serveur virtuel par défaut.
Le problème pourrait être que vous n'avez pas de session SSL activé la mise en cache sur le serveur par défaut. Pour l'activer, il vous suffit d'ajouter que
ssl_session_cache
ligne à votredefault_server
. Alternativement, si vous souhaitez que la configuration de l'œuvre dans l'ensemble de vos nginx serveurs virtuels (que je recommande), vous pouvez déplacer lassl_session_cache
ligne à l'extérieur du serveur déclaration, de sorte qu'il s'applique à tous.Voici la configuration que j'utilise:
Sources:
ssl_session_cache shared:SSL:10m;
ou était-il modifié par la suite?L'important, c'est l'endroit où vous mettez le
ssl_session_cache
ligne. Vous avez besoin d'appliquer à la valeur par défaut du serveur, donc soit le mettre dans le global configuration (comme illustré ci-dessus), ou dans votredefault_server
config bloc.Donc, il ne serait pas travailler dans le
server {
config comme indiqué à partir de l'OP?Nope. Lorsqu'un client se connecte d'abord crée ou reprend une session, c'est ce que le
ssl_session_cache
est utilisé pour. Queserver
bloc ne prend pas effet jusqu'à ce que plus tard dans l'échange, lors de la SNI est utilisée pour déterminer quel serveur virtuel connecter.Aha, intéressant - merci!
OriginalL'auteur
lorsque vous utilisez un serveur, il sera correct. Si vous avez l'équilibre de la charge avant de serveurs, il peut être comme cela. En raison de la demande ne peut pas les transmettre à un même serveur. Je suggère ssl_session_tickets.
OriginalL'auteur