Nginx禁用TLS 1.0和TLS 1.1

已于 2022-12-02 11:12:37 修改
阅读量2k 收藏 5
点赞数
文章标签: nginx 服务器 运维
于 2022-12-02 11:11:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hj17629030978/article/details/128144670
版权

Nginx禁用TLS 1.0和TLS 1.1

从时间上看,TLS 1.0 协议已经有20年历史了,确实要退出历史舞台了。

目前TLS协议主流的版本是 v1.2,那么和 v1.0 和 v1.1 版本相比,它有那些优势呢?或者说 v1.0 和 v1.1 版本必然有一些缺陷,所以才要被各大浏览器厂商废弃。

主要原因有两方面,首先就是性能,TLS 1.2协议有了更快的密码学算法,比如支持AEAD类的加密模式。当然更重要的是安全性。

有的同学说,大部分浏览器使用v1.2版本连接我的网站,那么为了兼容老设备,服务器同时也只支持v1.0和v1.1版本,有何不可?还是安全性,只要你的服务器存在v1.0和v1.1版本,攻击者就会强制让你从v1.2降级到老版本,从而带来安全风险。

TLS测试

可以通过openssl这个工具,使用以下命令来测试服务器端使用哪个版本的TLS。

openssl s_client -connect www.baidu.com:443 -tls1 2> /dev/null | grep -i -E "cipher|protocol"
openssl s_client -connect www.baidu.com:443 -tls1_1 2> /dev/null | grep -i -E "cipher|protocol"
openssl s_client -connect www.baidu.com:443 -tls1_2 2> /dev/null | grep -i -E "cipher|protocol"
openssl s_client -connect www.baidu.com:443 -tls1_3 2> /dev/null | grep -i -E "cipher|protocol"

如果不支持此TLS版本的话,会显示类似以下信息:

New, (NONE), Cipher is (NONE)
Protocol : TLSv1.1
Cipher : 0000

支持此TLS版本的话,会显示类似以下信息:

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-GCM-SHA256

nginx配置

ginx 有个ssl_protocols参数,用于配置支持的SSL版本。但是重点在于,需要在配有default_server的server域里面配置才可以生效。

 server {
    listen 80 default_server;
    listen 443 default_server;

    server_name _;

    ssl_certificate /usr/local/nginx/conf/ssl/www.pem;
    ssl_certificate_key /usr/local/nginx/conf/ssl/www.key;

    access_log /usr/local/nginx/logs/default.access.log;
    error_log /usr/local/nginx/logs/default.error.log;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;

    location / {
            ...
    }
}

TLSv1.1 和 TLSv1.2 参数(1.1.13、1.0.12)仅在使用 OpenSSL 1.0.1 或更高版本时有效。
TLSv1.3 参数 (1.13.0) 仅在使用 OpenSSL 1.1.1 或更高版本时有效。

修改完后,执行nginx -s reload重载生效即可。

@tangguo123
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
apache和nginxTLS1.0TLS1.1禁用处理方案
Bertram的博客
02-10 5907
apache和nginxTLS1.0TLS1.1禁用处理方案
如何让Nginx快速支持TLS1.3协议详解
09-30
总结,要让Nginx支持TLS 1.3,你需要安装支持TLS 1.3的OpenSSL库,然后编译安装新版本的Nginx,并在Nginx配置文件中启用TLS 1.3和安全的密码套件。最后,记得测试连接以验证配置的有效性。在整个过程中,关注兼容性...
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1等协议
老刀专栏
11-04 5396
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1等协议
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1929
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3
热门推荐
qq_42287535的博客
07-28 1万+
nginx代理禁用网站TLSv1.0 TLSv1.1,只启用TLSv1.2 TLSv1.3
Nginx 修复TLS1.0漏洞并扫描TLS协议
weixin_42258548的博客
04-06 1万+
Nigx 修复TLS1.0漏洞并扫描TLS协议1.服务器报警:启用了不安全的TLS1.0协议2.配置好后重启服务器3.扫描TLS协议4.完 1.服务器报警:启用了不安全的TLS1.0协议 解决方法: 找到主机的Ngix配置文件所在目录 如:/alidata/server/nginx/conf/vhosts 将该目录下所有配置文件的 ssl_protocols 改为 TLSv1.2 TLSv1.3 ssl_protocols TLSv1.2 TLSv1.3; 若配置文件里面没有ssl_protocols
Nginx 启用 OCSP Stapling的配置
01-10
OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。 而这时,OCSP Stapling 出现了。经由 OCSP ...
Nginx服务器中关于SSL的安全配置详解
01-10
不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually ...
Nginx服务器基本的模块配置和使用全攻略
09-30
本篇文章将深入探讨Nginx服务器的基本模块配置和使用方法,从安装开始,逐步解析各个常用模块的配置和参数设置。 1. **安装Nginx** 在开始配置前,首先需要在Linux系统上安装Nginx。对于CentOS 6.2 x86_64系统,...
nginx-1.21.2.zip
04-17
`sites-available`和`sites-enabled`目录通常用于管理虚拟主机配置,通过软链接实现启用或禁用站点。 **3. 配置Nginx** 在配置Nginx时,你需要修改`nginx.conf`文件或`sites-available`中的虚拟主机配置。基本配置...
服务器系列:服务器禁用TLS1.0TLS1.1协议使网站更安全
行成于思,形之于文
03-06 2476
1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf。1-2. 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下。
漏洞修复:TLS 1.0 enabled
CutelittleBo的博客
01-27 9170
描述 The web server supports encryption through TLS 1.0. TLS 1.0 is not considered to be "strong cryptography" as defined and required by the PCI Data Security Standard 3.2(.1) when used to protect sensitive information transferred to or from web sites. Acco
Windows服務器&Nginx&Apache禁用TLSv1.0
par@ish的博客
05-09 5766
传输层安全协议(Transport Layer Security,TLS):TLS标准由互联网工程任务组(IETF)TLS工作组制定和维护。TLS在TCP/IP协议栈上运行,用于保护web流量(使用HTTPS)、文件传输、电子邮件传输和许多其他应用程序。 最为熟悉的TLS使用场景是用于保护通过超文本传输协议(HTTP)传输的web流量。在HTTPS中,建立SSL/TLS连接(通常在TCP端口443上,与不安全网站的端口80不同),然后HTTP数据通过安全连接传输。 TLS还可用于保护电子邮件传输协议(IMA
Nginx 配置禁用TLSv1.0不生效的问题
MRsuibian的博客
06-30 2655
最近公司要求要禁用TLSv1.0协议,首先在网上找在线检测协议工具,地址https://myssl.com/,检测完了以后发现确实支持TLSv1.0协议的,然后开始配置,这个非常简单ssl_protocols TLSv1 TLSv1.1 TLSv1.2改为ssl_protocols TLSv1.1 TLSv1.2TLSv1.3,然后nginx -s reload,刷新一下页面,发现结果没变化,一脸懵,难道配置有问题?反复检查了确实没问题,还是系统有问题?最后搞了半天才发现是https://myssl.c..
Nginx 配置 TLSv1.2 协议失效的问题
那个那个
10-27 2004
Nginx 配置 TLSv1.2 协议失效的问题 ①、背景描述 所有业务出口都挂Nginx上,Nginx配置了证书但是通过https访问时谷歌浏览器、火狐、Edge浏览器报错,提示正在使用已过时的SSL版本,v1.0,建议使用v1.2或更高版本。 ②、原因分析: 访问的域名得Nginx配置是设置的 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 度娘“nginx 证书v1.2失效”得知nginx配置了N多vhost,只要有其中一个配置文件配置了过时的ssl_protocols
linux上关闭tls1.0协议,NGINX禁用TLS1.0TLS1.1使网站更安全
05-24
这将禁用 SSLv3、TLS1.0TLS1.1 协议,并将默认加密套件级别设置为 2(较高的安全级别)。 3. 保存配置文件并重启 Nginx 服务以使更改生效。 ``` sudo systemctl restart nginx ``` 请注意,禁用旧的协议可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值