Mercurial > hg > nginx-site

changeset 314:95d5dc7c9884

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Documented the new "TLSv1.1" and "TLSv1.2" parameters of the "ssl_protocols" directive.
author Ruslan Ermilov <ru@nginx.com>
date Fri, 13 Jan 2012 17:58:36 +0000
parents 16244471304a
children e00f8f8c0486
files xml/en/docs/http/configuring_https_servers.xml xml/ru/docs/http/ngx_http_ssl_module.xml
diffstat 2 files changed, 23 insertions(+), 7 deletions(-) [+]
line wrap: on
line diff
--- a/xml/en/docs/http/configuring_https_servers.xml	Fri Jan 13 14:27:44 2012 +0000
+++ b/xml/en/docs/http/configuring_https_servers.xml	Fri Jan 13 17:58:36 2012 +0000
@@ -20,7 +20,7 @@
     ssl                  on;
     ssl_certificate      www.nginx.com.crt;
     ssl_certificate_key  www.nginx.com.key;
-    ssl_protocols        SSLv3 TLSv1;
+    ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
     ssl_ciphers          HIGH:!aNULL:!MD5;
     ...
 }
@@ -50,6 +50,8 @@
 Since version 1.0.5, nginx uses “<literal>ssl_protocols SSLv3 TLSv1</literal>”
 and “<literal>ssl_ciphers HIGH:!aNULL:!MD5</literal>” by default,
 so configuring them explicitly only makes sense for the earlier nginx versions.
+Since version 1.1.13, nginx uses
+“<literal>ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2</literal>” by default.
 </para>
 
 <para>
@@ -105,7 +107,7 @@
         ssl                  on;
         ssl_certificate      www.nginx.com.crt;
         ssl_certificate_key  www.nginx.com.key;
-        ssl_protocols        SSLv3 TLSv1;
+        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
         ssl_ciphers          HIGH:!aNULL:!MD5;
         ...
 </programlisting>
@@ -454,7 +456,8 @@
 <list>
 
 <item>
-Version 0.7.65, 0.8.19 and later: the default SSL protocols are SSLv3 and TLSv1.
+Version 0.7.65, 0.8.19 and later: the default SSL protocols are SSLv3, TLSv1,
+TLSv1.1, and TLSv1.2 (if supported by the OpenSSL library).
 </item>
 
 <item>
--- a/xml/ru/docs/http/ngx_http_ssl_module.xml	Fri Jan 13 14:27:44 2012 +0000
+++ b/xml/ru/docs/http/ngx_http_ssl_module.xml	Fri Jan 13 17:58:36 2012 +0000
@@ -67,7 +67,7 @@
         <emphasis>keepalive_timeout    70;</emphasis>
 
         ssl                  on;
-        ssl_protocols        SSLv3 TLSv1;
+        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
         ssl_ciphers          AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
         ssl_certificate      /usr/local/nginx/conf/cert.pem;
         ssl_certificate_key  /usr/local/nginx/conf/cert.key;
@@ -215,7 +215,7 @@
 <context>http, server</context>
 
 <para>
-Директива указывает, чтобы при использовании протоколов SSLv3 и TLSv1
+Директива указывает, чтобы при использовании протоколов SSLv3 и TLS
 серверные шифры были более приоритетны, чем клиентские.
 </para>
 
@@ -223,12 +223,25 @@
 
 
 <directive name="ssl_protocols">
-<syntax>[<literal>SSLv2</literal>] [<literal>SSLv3</literal>] [<literal>TLSv1</literal>]</syntax>
-<default>SSLv3 TLSv1</default>
+<syntax>
+    [<literal>SSLv2</literal>]
+    [<literal>SSLv3</literal>]
+    [<literal>TLSv1</literal>]
+    [<literal>TLSv1.1</literal>]
+    [<literal>TLSv1.2</literal>]</syntax>
+<default>SSLv3 TLSv1 TLSv1.1 TLSv1.2</default>
 <context>http, server</context>
 
 <para>
 Директива разрешает указанные протоколы.
+Параметры <literal>TLSv1.1</literal> и <literal>TLSv1.2</literal> работают
+только при использовании библиотеки OpenSSL версии 1.0.1 и выше.
+<note>
+Параметры <literal>TLSv1.1</literal> и <literal>TLSv1.2</literal> поддерживаются
+только начиная с версии 1.1.13, поэтому при использовании OpenSSL версии 1.0.1
+и выше на старых версиях nginx эти протоколы работать будут, однако их нельзя
+будет отключить.
+</note>
 </para>
 
 </directive>