Nginx加密套件配置不当，造成SSL无法建立连接

之前文章写了用zabbix自动发现功能，自动监控服务器上所有域名的SSL证书到期时间，文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间，有兴趣的可以看下

然后有小伙伴说它用的过程中，获取证书到期时间的脚本执行报错

如图，报错结果很明显，就是ssl握手失败，协议是sslv3

获取ssl证书信息的脚本中，是通过SSL.Context构建上下文对象的，指定使用TLSv1，但是报错是sslv3

于是我在本地测试，我本地是没有问题的，我在脚本中添加输出链接协议版本

然后输出协议确实是使用了TLSv1，这里get_protocol_version返回就是int型，769是tlsv1

于是，我让小伙伴把域名发我，我用脚本执行，报同样的错误

在执行do_handshake，握手的时候就报错了，所以也没有输出建立连接的协议版本，没办法，只能抓包看了

抓到包，wireshark分析，客户端client hello之后，就没有协商成功，关于ssl握手的话，之前也写过一篇文章Wireshark抓包帮你理清https请求流程，如果有兴趣，可以看看

这里分析客户端的这个client hello的包，查看加密套件

又问小伙伴要了nginx配置的加密套件

可以看到，和客户端的加密套件不匹配，所以这就是为什么握手不成功的原因，可以看到，小伙伴的加密套件设置的太严格了，所以我让他重新配置了加密套件，果然没有问题，可以正常建立连接

这里除了抓包，还可以通过openssl工具来建立连接，查看整个连接过程，比如通过openssl s_client -connect xxx.com:443（这里端口要带，或者可以-h查看使用方法）

另外说一下nginx中加密套件的配置，nginx中的加密套件是通过ssl_ciphers指令指定的，加密套件格式通常就是以‘：’分隔，然后写在一行，一条加密套件包含哪些内容呢？

拿我让小伙伴配置的这条来说：ECDHE-RSA-AES128-GCM-SHA256

ECDHE：私钥交换算法

RSA：签名算法

AES128：对称加密算法

GCM-SHA256：签名算法

通常的加密套件就包含这几部分

后面的这部分HIGH:!aNULL:!MD5:!RC4:!DHE

这部分是加密套件的一些宏定义，就是一个字符串，代表一类型加密套件，openssl的ciphers可以查看加密套件，我们拿HIGH来看下

为了整齐，我用column列了一下，可以看到HIGH代表的一类型加密套件，有加密套件详细的版本号，和分开的几部分算法

所以这里HIGH代表的就是高级的加密套件，也就是密钥长度大于128位的，在openssl的ciphers中，还有MEDIUM和LOW，但是LOW等已经在openssl 1.0.2g中禁用了，更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html

总结，在nginx配置中，如果是普通服务，尽量不要配置特别严格的加密套件，避免出现加密套件不匹配，不兼容低版本的客户端