nginx 的 HTTPS 安全配置及 TLS 1.3 踩坑

最新推荐文章于 2025-03-29 09:38:24 发布
最新推荐文章于 2025-03-29 09:38:24 发布
阅读量8.6k 收藏 2
点赞数 1
分类专栏: Linux 文章标签: nginx https ssl linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49946916/article/details/119576291
版权
本文介绍了如何通过nginx配置防止通过IP访问时暴露域名,包括创建默认证书和使用`ssl_reject_handshake`指令。同时,探讨了TLS安全配置,推荐了符合PCIDSS标准的TLS1.2协议和安全加密套件。最后,提到了TLS1.3的使用,强调了其安全性和速度优势,但需要注意兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nginx 的 HTTPS 安全配置及 TLS 1.3 踩坑

防止默认配置导致暴漏域名

通过IP扫描,然后浏览器HTTPS访问会在证书里暴漏网站域名。

或者通过访问已知的,未配置HTTPS证书的域名,会暴漏有证书的第一个域名

有两种方式,一种是生成一个证书配置一个default_server。

一种是通过nginx 1.19.4 以后的ssl指令配置default_server。

生成证书配置默认网站

生成localhost证书:

cd /usr/local/nginx/conf/ssl/
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout localhost.key
 -out localhost.crt

配置默认网站:

server {
        listen 80 default_server;
        listen 443 ssl default_server;
        server_name _;
        ssl_certificate         ssl/localhost.crt;
        ssl_certificate_key     ssl/localhost.key;
        return 444;
    }

通过IP访问不会再暴漏域名

ssl_reject_handshake 指令

nginx版本大于 1.19.4可以使用该指令,无需创建假证书

http://nginx.org/en/docs/http/ngx_http_ssl_module.html

server {
        listen 80 default_server;
        listen 443 ssl default_server;
        server_name _;
        ssl_reject_handshake on;
        return 444;
    }

TLS安全配置

PCI DSS合规认证需要TLS 1.2

查看:https://ssl-config.mozilla.org/

看到TLS 1.2已经是默认配置,并且:

Supports Firefox 27, Android 4.4.2, Chrome 31, Edge, IE 11 on Windows 7, Java 8u31, OpenSSL 1.0.1, Opera 20, and Safari 9

XP系统安装chrome完美支持TLS 1.2,绝大多数环境都能够很好的工作。

XP可用的chrome 49
链接:https://caiyun.139.com/m/i?175CjfVEgFn0o
提取码:Tbo2

kb931125-rootsupd,XP证书补丁kb931125
链接:https://caiyun.139.com/m/i?175CdDrzQiA5d
提取码:SDKS

重点就是:ssl_ciphersssl_prefer_server_ciphers

因为RC4,md5、sha1、des等算法都是不安全的

TLSv1.3 需要openssl 1.1.1版本,目前国内大型网站都未使用,Apple,Mozilla、GitHub都是使用的,握手时间更短,算法更安全。

	ssl_protocols TLSv1.2;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

OCSP stapling一般只有Apple系需要

可以通过curl测试,Linux版的curl的tls选项都是正常的,Windows版的向下兼容,不够准确。

curl -I --tlsv1.2 https://www.baidu.com

openssl s_client -host www.baidu.com -port 443 -msg -state -showcerts -tls1_2

TLS 1.3 使用

安装nginx时,需要指定openssl 1.1.1版本

单个域名开启无效,需要default_server中开启。

CentOS7平滑升级Nginx版本并启用TLS1.3
Bertram的博客
02-09 1623
CentOS7平滑升级Nginx版本并启用TLS1.3
php不支持tls1.2,Nginx 升级支持 TLS1.2TLS1.3的几个
weixin_31851979的博客
03-17 1054
背景需要给老的业务网站配置HTTPS服务,根据常规配置Nginx后无效,于是就催生了本文。问题网站配置了HTTPS,但是访问出现问题:用于加载此网站的连接使用的是 TLS 1.0 或 TLS 1.1,这两个 TLS 版本都已过时,将在不久后完全停用。届时,用户将无法再加载此网站。服务器应启用 TLS 1.2 或更高版本。解决第一步:openssl版本1.0.1以上的版本支持 TLS1.21.1.1...
nginx配置ssl(TLSv1.3\ngx_http_ssl_module)
tom春的博客
07-21 1036
查看openssl版本openssl version,一般腾讯云为1.0.2k版本。查看最新版本openssl,现在最新为1.1.1h版。
nginxTLS1.3配置
enjoy.day
11-29 8876
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
--tls_version=“TLSv1.2,TLSv1.3
最新发布
Leon_Jinhai_Sun的博客
03-29 450
参数用于配置 MySQL 服务器支持的 TLS 版本,确保通信的安全性和性能。在 Docker 容器中运行 MySQL 时,通过command参数传递此选项是一种有效的方式来强化数据库的安全配置
nginx TLS1.3无效
a1053646895的专栏
06-09 2232
linux: centos7 nginx1.15.9 openssl1.0.2 按照TLS1.3的要求,openssl升级到1.1.1了。 OpenSSL 1.1.1g 21 Apr 2020 built on: Tue Jun 9 06:46:13 2020 UTC platform: linux-x86_64 options: bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr) 在浏览器查看到的TLS始终都是1.2。 然
阿里云Nginx配置ssl,nginx开启https,访问不了
mashangzhifu的博客
07-13 7001
一、问题描述 我这用nginx配置了ssl,配置好之后,通过https就访问不了了,没配置之后,还好好的。 二、解决方法 1.确定还没配置前http的能正常访问-【排除nginx的问题】 2.检查nginx是否安装ssl模块 进入到目录的sbin目录下,输入 #注意这里是大写的V,小写的只显示版本号 ./nginx -V 如果有–with-http_ssl_module,说明已安装了ssl模块,否则从新编译安装ssl模块。 3.检测防火墙是否开启,如果开启是否开放了相应的端口。 4.配置证书并重启ngin
nginx配置开启单个server下的TLS1.3
Light
08-18 1419
记录:nginx配置开启单个server下的TLS1.3功能,现有的nginx配置,开启TLS1.3是必须把服务器上面所有的server块里面的https下面都开启TLS1.3,才能生效。 解决办法: 针对这一现象,GitHub中找到ngx_http_ssl_client_hello_module模块可解决此问题,实现对单个server下的https开启TLS1.3功能。 一、下载安装ngx_http_ssl_client_hello_module模块 文档地址:https://github.com/zen
nginx开启更为安全的tls1.3
蚁景网安学院
07-09 1312
随着互联网安全越来越受到重视,越来越多的网站选择启用https来保证数据的加密传输,TLS1.2发布于2008年8月,至今正好有10年,所以新协议TLS1.3呼之欲出。Google ch...
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 3500
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7722
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
Nginx记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20
Ximerr的博客
06-05 2539
nginx启动报错: nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/nginx.conf:20 问题解决记录。
Linux升级openssl版本、安装nginx并配置https证书支持TLSv1.3
weixin_43020107的博客
03-24 2263
【代码】Linux升级openssl版本、安装nginx并配置https证书支持TLSv1.3
博客大事记之迁移博客到香港主机
人至贱则无敌
11-13 513
个人博客:https://rebootcat.com/2020/11/10/move_blog_hk/ 前言 之前其实已经写过一篇博文: 迁移博客到香港虚拟空间,那为什么又要写这篇博客呢? 上次其实是把我的博客迁移到一个香港的虚拟空间里,但是不到半年的时间已经出现过 4 次宕机事件,每次持续时间 4~5 小时,阿里云 和 UpTimeRobot 的监控报警报了一大堆,邮箱都快塞满了。想着宕机就宕机吧,至少还能恢复,还能凑合用,结果呢,就在前几天当时购买虚拟空间的官网都 GG 了,管理员跑路了。。。 可能.
通过QUIC 0-RTT建立更快的连接
LiveVideoStack
12-24 3535
本文主要探讨TLS协议,看看它如何允许客户机开始发送HTTP要求,并且无需等待TLS握手完成即可减少延迟、建立更快的连接。此外,之中会有一些风险如通过API端点发送HTTP请求间的ban...
kubernetes集群搭建-CentOS7
qq_33791052的博客
12-12 1606
kubernetes集群搭建 1 . 准备基本环境 1.1 一台或多台安装了以下系统的物理机或者虚拟机 Ubuntu 16.04+ Debian 9+ CentOS 7 Red Hat Enterprise Linux (RHEL) 7 Fedora 25+ HypriotOS v1.0.1+ Flatcar Container Linux (tested with 2512.3.0) 1.2 一台或多台安装了以下系统的物理机或者虚拟机 每台机器至少分配2G内存 每台机器至少分配2 CPU 1
使用nginx将http请求强转https引发的CRLF安全漏洞
小小小徐哥哥
04-04 899
一、CRLF注入攻击 一、漏洞描述 CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常...
Nginx禁用TLS 1.0和TLS 1.1
热门推荐
zyy247796143的博客
07-01 1万+
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
linux显示tlsv版本号,如何在Nginx中禁用TLSv1.0和TLSv1.1
weixin_32247455的博客
05-14 2781
nginx documentation for ssl_protocols指令:The TLSv1.1 and TLSv1.2 parameters are supported starting from versions 1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on older nginx v...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值