]> git.openstreetmap.org Git - chef.git/commitdiff
nginx: enable TLS 1.3
authorGrant Slater <git@firefishy.com>
Thu, 22 Aug 2019 21:22:29 +0000 (22:22 +0100)
committerGrant Slater <git@firefishy.com>
Thu, 22 Aug 2019 21:22:29 +0000 (22:22 +0100)
cookbooks/imagery/templates/default/nginx_imagery.conf.erb
cookbooks/nginx/templates/default/nginx.conf.erb
cookbooks/tilecache/templates/default/nginx_tile.conf.erb

index b95bc601f9e56bbcbb5b5031ead5d5ebfe99e0b8..dcdc2872961f2cbe6c0e4832dc8941aebb0be049 100644 (file)
@@ -31,6 +31,10 @@ server {
     add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
 <% end -%>
 
     add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
 <% end -%>
 
+    # Requests sent within early data are subject to replay attacks.
+    # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
+    ssl_early_data on;
+
     root "/srv/<%= @name %>";
 
     gzip on;
     root "/srv/<%= @name %>";
 
     gzip on;
index ae0d8bd418e3ba527f6ec6092a75f6e67094954b..e5969ce45ce3acb67f226c4f3a2ab5341851704c 100644 (file)
@@ -34,11 +34,12 @@ http {
 
     server_tokens off;
 
 
     server_tokens off;
 
-    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
+    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
     ssl_ciphers <%= node[:ssl][:openssl_ciphers] -%>;
     ssl_prefer_server_ciphers on;
     ssl_session_cache shared:SSL:50m;
     ssl_session_timeout 30m;
     ssl_ciphers <%= node[:ssl][:openssl_ciphers] -%>;
     ssl_prefer_server_ciphers on;
     ssl_session_cache shared:SSL:50m;
     ssl_session_timeout 30m;
+
     ssl_stapling on;
 
     # Validate the stapling response is signed by a trusted certificate
     ssl_stapling on;
 
     # Validate the stapling response is signed by a trusted certificate
index a6962d89331fcdfdb12bda847e737e0fa924b07d..611bd4a73a52cab8e72c331110ae54055f64567d 100644 (file)
@@ -93,6 +93,10 @@ server {
     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
 
     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
 
+    # Requests sent within early data are subject to replay attacks.
+    # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
+    ssl_early_data on;
+
     # Immediately 404 layers we do not support
 <% for i in 20..99 do %>
     location /<%= i %>/ {
     # Immediately 404 layers we do not support
 <% for i in 20..99 do %>
     location /<%= i %>/ {