Nginx环境下如果禁用TLS/SSL弱密码套件

要禁用弱加密套件，核心是修改Nginx的SSL配置，通过ssl_protocols和ssl_ciphers指令精确控制允许的协议和密码套件。

下面是在Debian 12、Nginx 1.28.0环境下的具体配置步骤：

1. 确定配置文件

首先，需要找到Nginx站点配置文件。通常位于以下位置：

主配置文件: /etc/nginx/nginx.conf

站点可用配置: /etc/nginx/sites-available/ 目录下对应你域名的文件 (例如 yourdomain.com)

包含目录: /etc/nginx/conf.d/ 下的 .conf 文件

一般来说，建议修改 /etc/nginx/sites-available/ 下对应站点的配置文件。

2. 编辑配置，禁用弱套件

使用编辑器（如nano或vim）打开配置文件，在 server 块中找到或添加以下配置指令。这里提供了一个较为通用的安全配置示例：

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name yourdomain.com; # 替换为你的域名

    # SSL证书配置 (请替换为你的证书路径)
    ssl_certificate /etc/ssl/certs/yourdomain.com.crt; # 或 fullchain.pem
    ssl_certificate_key /etc/ssl/private/yourdomain.com.key;

    # --- 核心配置：禁用弱协议和弱密码套件 ---
    # 1. 只启用 TLS 1.2 和 1.3，禁用所有旧版协议 (SSLv3, TLSv1.0, TLSv1.1)
    ssl_protocols TLSv1.2 TLSv1.3;
    
    # 2. 定义允许的密码套件列表，仅保留强密码
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    
    # 3. 优先使用服务器定义的密码套件顺序，而非客户端的顺序
    ssl_prefer_server_ciphers on;
    
    # 4. (可选，强烈推荐) 启用Diffie-Hellman参数以支持DHE密码套件，增强前向安全性
    #    需要提前生成：openssl dhparam -out /etc/nginx/dhparam.pem 2048 (或 4096)
    # ssl_dhparam /etc/nginx/dhparam.pem;

    # 5. (可选) 其他安全优化配置
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off; # 禁用会话票证以提高安全性

    # 6. (可选，强烈推荐) 启用 HSTS (HTTP Strict Transport Security)
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    # 其他 location 配置...
    location / {
        # ... 你的网站配置 ...
    }
}

配置说明：

ssl_protocols TLSv1.2 TLSv1.3;：这条指令明确告诉Nginx只接受TLS 1.2和1.3协议的连接，从而彻底禁用存在已知漏洞的SSLv3、TLSv1.0和TLSv1.1。

ssl_ciphers：这里列出的密码套件组合，优先使用了支持前向保密的ECDHE和DHE算法，搭配强加密的AES-GCM或CHACHA20-POLY1305模式。这行配置等效于排除了所有包含NULL、MD5、DES、RC4等弱算法的套件。

ssl_prefer_server_ciphers on;：启用后，在进行TLS握手时，服务器会使用自己定义的密码套件顺序（如上所列），而不是客户端提供的顺序，确保优先选择最安全的套件。

ssl_dhparam：如果你打算使用基于DHE的密码套件（如上文列表中的DHE-RSA-*），强烈建议生成并使用自定义的DH参数文件，这比使用OpenSSL的默认参数更安全。

3. 验证并重载配置

修改配置文件后，务必进行语法检查并重载Nginx服务使配置生效。

# 1. 测试Nginx配置文件语法是否正确
sudo nginx -t

# 2. 如果输出提示 syntax is ok 和 test is successful，则重载Nginx
sudo systemctl reload nginx