如何在Apache,Nginx和Cloudflare中启用TLS 1.3?

最新推荐文章于 2024-08-26 12:11:14 发布
最新推荐文章于 2024-08-26 12:11:14 发布
阅读量2.7k 收藏 4
点赞数 1
分类专栏: 服务器 文章标签: TLS1.3 nginx apache

在实现之前,让我们来看看什么是TLS 1.3,它与1.2的区别,历史和兼容性。

什么是TLS 1.3?

TLS(传输层安全性)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在提高性能和安全性。

我们来看看TLS协议的历史。

可以在Web服务器,CDN,负载均衡器上启用TLS协议。

TLS 1.3浏览器兼容性

所有浏览器尚不支持1.3。目前,它仅适用于最新版本的Chrome,Firefox,Opera和iOS Safari。

考虑到它仍处于早期阶段,您可能需要启用1.3以及旧版本1.2、1.1和1.0。

在Nginx中启用TLS 1.3

Nginx 1.13版本开始支持TLS 1.3 。如果您运行的是旧版本,那么首先需要进行升级。

我假设你有Nginx 1.13+

  • 登录Nginx服务器
  • 备份nginx.conf文件
  • nginx.conf使用vi或您喜欢的编辑器修改

SSL设置下的默认配置应如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

TLSv1.3在行的末尾添加,因此它看起来如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

注意:以上配置将允许TLS 1 / 1.1 / 1.2 / 1.3。如果要启用安全的TLS 1.2 / 1.3,那么您的配置应如下所示。

ssl_protocols TLSv1.2 TLSv1.3;

重启Nginx

在Apache中启用TLS 1.3

从Apache HTTP 2.4.38开始,您可以利用TLS 1.3。如果您仍在使用旧版本,那么您必须首先考虑升级。

配置很简单,与启用TLS 1.2或1.1协议的方式类似。

让我们来看看…

  • 登录Apache HTTP服务器并获取备份或ssl.conf文件或您具有SSL配置的位置
  • 找到SSLProtocol行并+TLSv1.3在行尾添加

例如:以下将允许TLS 1.2和TLS 1.3

SSLProtocol -all +TLSv1.2 +TLSv1.3
  • 保存文件并重新启动Apache HTTP

CloudFlare

第一个实施TLS 1.3支持的CDN提供商之一。Cloudflare默认为所有网站启用它。

但是,如果您需要禁用或检查,那么您可以采用以下方法。

  • 登录Cloudflare
  • 转到加密选项卡
  • 向下滚动一下,您将看到TLS 1.3选项

如何验证站点是否正在使用TLS 1.3?

一旦您通过Web服务器或cdn实现,那么接下来您需要确保您的站点通过tls 1.3协议进行握手。

有多种方法可以测试它。

SSL Labs - 输入您的HTTPS URL并向下滚动到测试结果页面。

您将看到启用了所有协议的内容。

Google Chrome - 如果您在Intranet网站上启用,则可以直接在Chrome浏览器中进行测试。

  • 启动Chrome
  • 打开开发者工具
  • 转到安全选项卡
  • 访问HTTPS URL
  • 左侧,选择主要原点以查看协议

考虑到TLS 1.3仍然是新的协议,您可以在网站上实现,但不要忘记启用旧版本。启用TLS 1.0、1.1、1.2将确保客户端(浏览器)在与1.3不兼容的情况下可以通过其他协议版本进行连接。

转载自:https://www.ftssl.com/article/item-242.html

lxydyx
关注
专栏目录
7策略1保护:轻松构建Nginx反爬虫防线
java专栏
09-27 224
嘿,朋友们!欢迎回到我们的小课堂。上一次,我们聊了为什么需要反爬虫,现在,让我们来认识一下今天的主角——Nginx!想象一下,如果有人不停地敲你的门,你是不是会觉得很烦?同样,我们的网站也不希望被爬虫不停地访问。访问频率限制就是设置一个规则,比如每分钟只能敲10次门,超过这个次数就不再欢迎了。我们需要定义一个共享内存区域来跟踪每个IP的请求次数。在httphttp {:这是一个指令,用来定义一个共享内存区域。:这是Nginx内置变量,代表客户端的IP地址。:定义了共享内存区域的名称(
宝塔linux设置tls,宝塔面板 开启 TLS 1.3 加密协议
weixin_42573113的博客
05-19 2073
随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要TLS 1.3 加密协议是在 TLS 1.0 、TLS 1.1 、TLS 1.2 之前版本基础上进行的升级和改造,也是迄今为止改动最大的一次,IETF 正在制定 TLS 1.3 的新标准。相比 TLS 1.2 ,TLS 1.3 的主要区别在于:1、新的加密套件只能在 TLS 1...
[笔记] Apache2.4配置TLS1.3&安装openssl1.1.1
wendr的博客
11-27 1004
Linux - 运维篇 - 间件 第二章 Apache2.4配置TLS1.3&安装openssl1.1.1
Windows系统启用TLS1.2和TLS1.3详解(TLS漏洞修复)
最新发布
August_Leaf的博客
08-26 2474
在公司的安全扫描,发现TLS漏洞(TLS Version 1.0 Protocol Detection)、(TLS Version 1.1 Deprecated Protocol),漏洞描述是说服务器使用低版本的TLS协议(服务器默认使用TLS1.0和TLS1.1版本)。经过检索后,发现没有能解决问题的,什么改浏览器设置都是扯淡。因此,总结出TLS协议升级的流程以供参考。
http服务(nginxapache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3
西京刀客
02-09 1万+
文章目录一、http服务停用不安全的TLS1.0和TLS1.1协议nginxApacheapache要支持TLS1.2 版本要求工作遇到问题整理[error] No SSL protocols available [hint: SSLProtocol]apache 版本支持TLS1.3公网环境验证站点正在使用ssl/tls 版本二、关于启用TLS 1.31. 什么是TLS 1.3?2. 如何确定openssl库的最新支持的SSL/TLS版本?三、客户端对ssl/tls支持情况1. curl浏览器四、参考
宝塔php openssl扩展,宝塔面板开启支持SSL1.3SSL的配置教程
weixin_35676504的博客
03-10 4279
继续本教程之前,请先确认一下几点:确定服务器为Centos7.X系统。服务器环境为宝塔,一定是最新版本的宝塔面板,一定是nginx1.15。WEB软件为Nginx1.15(必须编译安装,有以前安装宝塔有可能1.15配置好ssl1.3检测依然不是)服务器可以SSH连接。为了更好直观的解决问题,余斗把所有步骤都截图只需要按照步骤就ok!站点有很多ssl的站点,一个一个修改站点配置文件的20行代码修改如...
HTTPS && HTTPS TLSv1.2与TLSv1.3
weixin_45971758的博客
03-06 4122
HTTP HTTPS TLS握手详解
https证书申请和配置 (letsencrypt:certbot + dns: cloudflare ) & (apache,Caddy,Nginx)
intbird的专栏
03-28 1959
vps Centos7 apache服务器之httpd服务器 http升级https 1. https原理自建证书创建:第三方证书申请:自建证书和第三方证书区别2.工具准备3.证书配置:4.验证配置:出现异常:解决方法:5.重启服务器:6.排查异常方法1.命令行工具异常1: 服务器443端口被占用(解决方法就不用说了)异常2: RSA密钥问题2. 查看详细日志3.解决异常1. 443端口被占用就...
Linux下的Web服务器配置:ApacheNginx深入应用的专家指南
Apache Nginx command line](https://static1.makeuseofimages.com/wordpress/wp-content/uploads/2022/04/get-package-versions-on-ubuntu.jpg) # 1. Web服务器基础知识 ## 1.1 Web服务器的作用和类型 Web服务器是...
【Linux下的Web服务器配置】:ApacheNginx,高效配置与性能优化技巧
[【Linux下的Web服务器配置】:ApacheNginx,高效配置与性能优化技巧](https://img-blog.csdnimg.cn/20200821200931820.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9...
java 启用 sslv3_启用免费且自动更新的泛域名SSL证书
weixin_33806343的博客
02-26 738
经过数次跳票之后,Let's Encrypt在2018年3月13日开始提供支持泛域名的SSL证书了,每次颁发证书的有效时间是3个月,因此Let's Encrypt提供了一个自动颁发和更新SSL证书的工具acme.sh,使用下来感觉比收费的还要方便。安装证书自动签发/续签工具acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书。下面我们以CentOS为例进行说明:...
SSL/TLS、对称加密和非对称加密和TLSv1.3
ss810540895的博客
05-17 1593
本文主要对对称加密和非对称加密的原理以及过程进行分析,同时还会简单介绍一下TLS/SSL的一些相关内容,并且对比TLSv1.2和TLSv1.3的不同。
宝塔linux设置tls,宝塔面板网站如何配置兼容支持SSL TLS1.3协议
weixin_29063035的博客
05-19 1340
我们有些网友是否发现,原来一直在使用且正常运行的网站也有配置SSL证书实现HTTPS加密访问。但是有些时候浏览器兼容性并不是太好,主要是因为目前需要支持兼容SSL TLS1.3协议,而以前基本上使用的是TLS 1.2协议。从TLS 1.3开始删除一些不安全的加密算法,以及在这篇文章,我们整理在常规的宝塔面板如何配置支持TLS1.3教程。ssl_protocols TLSv1.2 TLSv1.3...
TLS1.2 和 TLS1.3的简要区别
热门推荐
weixin_43408952的博客
05-12 2万+
TLS1.3的握手流程
【运维】nginx的安装、配置,支持tls1.2,1.3,以及限流、降级等
比嗨皮兔
04-06 4196
使用 Nginx 的 limit_req_zone 指令来设置限制区域,并在需要进行限制的地方使用 limit_req 指令进行限制。使用 Nginxproxy_next_upstream 指令来设置当后端服务器出现错误时是否继续尝试向下一个后端服务器转发请求。以上配置将在后端服务器出现错误时继续尝试向下一个后端服务器转发请求,直到所有后端服务器均出现错误或请求被成功处理。以上配置将每秒最多允许一个请求,超过则返回 503 错误,同时允许瞬时突发 5 个请求。
apache等服务器停用不安全的TLS1.0和TLS1.1协议
hzjhss的博客
09-03 1706
基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf。基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下。的 ‘-all’ 参数删除其他SSL/TLS协议(SSLv1,的SSLv2,SSLv3和TLS1)。apache默认支持SSLv3,TLSv1TLSv1.1,TLSv1.2协议。删除+TLSv1 +TLSv1.1、增加TLSv1.3。'+ TLSv1.2’参数添加TLSv1.2。
解决android4.4以下sslv3 alert handshake failure和protocol TLSv1.3 is not supported的问题
kuanxu的专栏
05-18 1643
解决android4.4以下sslv3 alert handshake failure和protocol TLSv1.3 is not supported的问题
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
LIARRR的博客
04-12 7329
表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者 default_server才能生效,且其他server块都会读取default_server的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。启用TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
Nginx - 四层代理TCP配置SSL加密访问
小工匠
05-19 2482
``nginxstream {# 定义 upstream,指向 Redis 服务# 日志配置# SSL代理本地服务器server {# 监听 8100 端口,并开启 SSL# 访问日志路径# SSL 证书路径# SSL 证书私钥路径# 设置 SSL 协议版本# 启用 SSL 会话重用MD5;# SSL 加密算法# SSL 会话缓存# SSL 会话超时时间# 代理到 Redis 服务# 模拟客户端解密,对外暴露server {# 监听 8104 端口# 访问日志路径。
nginx 升级支持 TLS1.2,TLS1.3
06-08
3. 在 nginx 配置文件启用 TLS1.2 和 TLS1.3。您可以在 nginx 配置文件添加以下代码: ``` ssl_protocols TLSv1.2 TLSv1.3; ``` 4. 配置您的 SSL 证书以支持 TLS1.2 和 TLS1.3。您需要使用支持 TLS1.2 和 TLS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值