欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

如何讓Nginx快速支持TLS1.3協(xié)議詳解

 更新時(shí)間:2018年04月21日 15:51:14   作者:虞大膽  
這篇文章主要給大家介紹了如何讓Nginx快速支持TLS1.3協(xié)議的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧。

前言

最近在看一些 TLS 協(xié)議 1.3 版本的相關(guān)知識(shí),所以想分享一些信息,本文是第一篇,沒有太多的理論細(xì)節(jié),主要說下如何在 Nginx 上快速部署一個(gè)支持 TLS 1.3 協(xié)議版本的網(wǎng)站。

TLS 1.3 優(yōu)勢(shì)

TLS 1.3 相對(duì)于之前的版本,主要有兩大優(yōu)勢(shì):

Enhanced security: 安全性增強(qiáng)
Improved speed:速度提升

幾個(gè)基本觀點(diǎn)需要牢記。

1)截止到現(xiàn)在 TLS 1.3 協(xié)議仍然處于草案階段,最新的 RFC 文檔是 draft 28,對(duì)于大型系統(tǒng)來說,目前并不建議部署,當(dāng)然對(duì)于個(gè)人網(wǎng)站來說,可以部署 TLS 1.3 版本 。

2)TLS 1.3 和 TLS 1.2 版本有很大的不同,從協(xié)議消息的角度來看,兩者是不兼容的,也正因?yàn)榇?,大型系統(tǒng)目前不建議采用 TLS 1.3 版本。

關(guān)于這兩個(gè)版本之間的差異,后續(xù)我會(huì)寫文章詳細(xì)描述。

3)Nginx 底層使用的密碼庫是 OpenSSL,也就是說是否支持 TLS 1.3 版本,取決于 OpenSSL 庫。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本,最新的 OpenSSL 1.1.1-pre5 支持 TLS 1.3 draft 26。

這篇文章運(yùn)行環(huán)境如下:

  • Ubuntu 14.04.5 LTS 系統(tǒng)
  • gcc version 4.8.4
  • Nginx nginx1.13.5
  • openssl1.1.1

如果大家在具體安裝的時(shí)候,遇到各類問題,可能和軟件版本、系統(tǒng)環(huán)境有關(guān),需要查看手冊(cè)或者在線 Google。

安裝 OpenSSL

了解 TLS 1.3 版本,最好的工具就是 OpenSSL,所以第一步就是安裝 OpenSSL 密碼庫和命令行工具。

運(yùn)行如下命令:

$ cd /root 

# 下載源代碼 
$ wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1-pre1.tar.gz 

$ cd openssl-1.1.1-pre1

$ grep TLS1_3_VERSION_DRAFT_TXT ./* -R
# 輸出 draft 23 
./include/openssl/tls1.h:# define TLS1_3_VERSION_DRAFT_TXT "TLS 1.3 (draft 23)"

$ ./config --prefix=/usr/local/openssl1.1.1 --openssldir=/usr/local/openssl1.1.1 --libdir=lib shared -Wl,-R,'$(LIBRPATH)' -Wl,--enable-new-dtags enable-ec_nistp_64_gcc_128 enable-tls1_3

$ make 
$ make install
  • 在這個(gè)版本中,默認(rèn)已經(jīng)啟用 TLS 1.3 ,所以不加 enable-tls1_3 參數(shù)也可以
  • OpenSSL 命令行工具和各類包、證書文件都保存在 /usr/local/openssl1.1.1 目錄下。
  • 該版本對(duì)應(yīng)的 TLS 1.3 版本是 draft 23。

安裝完成后,可以使用命令行工具了解相關(guān) TLS 1.3 信息。

比如運(yùn)行下列命令,了解該版本對(duì)應(yīng)的所有密碼套件:

$ ./usr/local/openssl1.1.1/bin/openssl ciphers -V tls1_3 | column -t

0x13,0x02 - TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256)  Mac=AEAD
0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD
0x13,0x01 - TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128)  Mac=AEAD

可以看出 TLS 1.3 版本支持的密碼套件進(jìn)一步減少(增強(qiáng)了安全性)。

安裝 Nginx

Nginx 支持 TLS 1.3 版本,指定 OpenSSL 庫即可,運(yùn)行命令如下:

$ cd /root 

$ wget http://nginx.org/download/nginx-1.13.5.tar.gz 
$ wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.41.tar.gz

$ tar xvf pcre-8.41.tar.gz 
$ tar xvf nginx-1.13.5.tar.gz 

$ cd nginx-1.13.5

$ ./configure \
 --prefix=/usr/local/nginx1.13.5.tls1.3 \
 --with-http_ssl_module \
 --with-pcre=../pcre-8.41 \
 --with-stream \
 --with-openssl=../openssl-1.1.1-pre1 \
 --with-openssl-opt="enable-tls1_3 enable-ec_nistp_64_gcc_128" --with-pcre

$ make 
$ make install

—with-openssl-opt 參數(shù)主要是為了配置 OpenSSL

Nginx 配置 TLS 1.3 版本

$ cd /usr/local/nginx1.13.5.tls1.3
$ vim conf/nginx.conf

nginx.conf 文件配置如下:

server {
 listen  443 ssl;
 server_name www.simplehttps.com;

 ssl_certificate  /etc/letsencrypt/live/simplehttps.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/simplehttps.com/privkey.pem;
 ssl_protocols  TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

 ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
 ssl_prefer_server_ciphers on;

 ssl_ciphers  TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-1
 28-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;

 location / {
  root html;
  index index.html index.htm;
 }
}

關(guān)于如何申請(qǐng)證書,可以參考我原來的文章。

配置 TLS 1.3 版本很簡(jiǎn)單,ssl_protocols 增加 TLSv1.3 即可。

運(yùn)行如下命令啟動(dòng) Nginx:

$ ./sbin/nginx

測(cè)試 TLS 1.3

使用三種方式測(cè)試網(wǎng)站是否支持 TLS 1.3 版本。

1)OpenSSL 命令行

運(yùn)行下列命令:

$ /usr/local/openssl1.1.1/bin/openssl s_client -connect www.simplehttps.com:443 -tls1_3  

# 輸出

New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
SSL-Session:
 Protocol : TLSv1.3
 Cipher : TLS_AES_256_GCM_SHA384

可見 TLSv1.3 已經(jīng)成功支持。

2)Chrome

目前主流的瀏覽器都支持 TLS 1.3 版本,具體見下圖:

Chrome 從 62 版本默認(rèn)開啟 TLS 1.3 的支持,如果是 62 以下的版本,可以進(jìn)行下列的配置。

(1)工具欄上打開 chrome://flags/

(2)啟用 TLS 1.3

需要注意的是,如果服務(wù)器端支持的 draft 版本和瀏覽器支持的 draft 版本不一致,那么 HTTPS 網(wǎng)站將不能訪問。

(3)重新啟動(dòng)瀏覽器

然后打開瀏覽器,對(duì) https://www.simplehttps.com 進(jìn)行測(cè)試。


3)Firefox

Firefox 從 47  版本默認(rèn)開啟 TLS 1.3 的支持,如果是 47 以下的版本,可以進(jìn)行下列的配置。

(1)工具欄上打開 about:config

(2)修改 security.tls.version.max 為 4

(3)重新啟動(dòng)瀏覽器

然后打開瀏覽器,對(duì) https://www.simplehttps.com 進(jìn)行測(cè)試。


總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持。

相關(guān)文章

  • Nginx服務(wù)器中l(wèi)ocation配置的一些基本要點(diǎn)解析

    Nginx服務(wù)器中l(wèi)ocation配置的一些基本要點(diǎn)解析

    這篇文章主要介紹了Nginx服務(wù)器中l(wèi)ocation配置的一些基本要點(diǎn)解析,特別對(duì)管理以及查找匹配作出了詳細(xì)的講解,需要的朋友可以參考下
    2015-12-12
  • nginx降權(quán)與匹配php詳細(xì)講解

    nginx降權(quán)與匹配php詳細(xì)講解

    大部分網(wǎng)站開發(fā)語言都要運(yùn)行在服務(wù)器,比如主流的nginx、apache等等,下面這篇文章主要給大家介紹了關(guān)于nginx降權(quán)與匹配php的相關(guān)資料,需要的朋友可以參考下
    2023-01-01
  • 詳解Nginx服務(wù)器中的nginx.conf配置文件

    詳解Nginx服務(wù)器中的nginx.conf配置文件

    這篇文章主要介紹了詳解Nginx服務(wù)器中的nginx.conf配置文件,包括對(duì)HTTP服務(wù)的基本配置方法,需要的朋友可以參考下
    2015-08-08
  • Nginx動(dòng)靜分離配置實(shí)現(xiàn)與說明

    Nginx動(dòng)靜分離配置實(shí)現(xiàn)與說明

    這篇文章主要介紹了Nginx動(dòng)靜分離配置實(shí)現(xiàn)與說明,需要的朋友可以參考下
    2022-04-04
  • nginx status狀態(tài)頁配置方法和中文說明

    nginx status狀態(tài)頁配置方法和中文說明

    這篇文章主要介紹了nginx status狀態(tài)頁配置方法和中文說明,重點(diǎn)在配置例子和status的中文說明,需要的朋友可以參考下
    2014-06-06
  • Windows系統(tǒng)中Nginx下載安裝部署教程(實(shí)測(cè)有效)

    Windows系統(tǒng)中Nginx下載安裝部署教程(實(shí)測(cè)有效)

    Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器,也是一個(gè)IMAP/POP3/SMTP代理服務(wù)器,下面這篇文章主要給大家介紹了關(guān)于Windows系統(tǒng)中Nginx下載安裝部署的相關(guān)資料,需要的朋友可以參考下
    2024-08-08
  • angular6+springboot實(shí)現(xiàn)前后分離nginx配置

    angular6+springboot實(shí)現(xiàn)前后分離nginx配置

    這篇文章主要介紹了angular6+springboot實(shí)現(xiàn)前后分離nginx配置詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-06-06
  • Nginx基礎(chǔ)入門之gzip配置指南

    Nginx基礎(chǔ)入門之gzip配置指南

    眾所周知隨著nginx的發(fā)展,越來越多的網(wǎng)站使用nginx,因此nginx的優(yōu)化變得越來越重要,所以下面這篇文章主要給大家介紹了關(guān)于Nginx基礎(chǔ)入門之gzip配置的相關(guān)資料,需要的朋友可以參考借鑒,下面來一起看看吧。
    2017-08-08
  • Nginx反向代理入門實(shí)戰(zhàn)指南

    Nginx反向代理入門實(shí)戰(zhàn)指南

    反向代理:反向代理也叫reverse proxy,指的是代理外網(wǎng)用戶的請(qǐng)求到內(nèi)部的指定web服務(wù)器,并將數(shù)據(jù)返回給用戶的一種方式,這是用的比較多的一種方式,下面這篇文章主要給大家介紹了關(guān)于Nginx反向代理的相關(guān)資料,需要的朋友可以參考下
    2021-08-08
  • 詳解nginx配置url重定向-反向代理

    詳解nginx配置url重定向-反向代理

    這篇文章主要介紹了詳解nginx配置url重定向-反向代理 ,nginx的重定向和nginx的反向代理的原理還是有區(qū)別的。有興趣的可以了解一下。
    2016-12-12

最新評(píng)論