Nginx https 协议配置 ssl_protocols 的相关问题

最新推荐文章于 2024-03-25 17:58:59 发布
最新推荐文章于 2024-03-25 17:58:59 发布
阅读量4.1w 收藏 15
点赞数 2
分类专栏: Nginx OpenSSL WebServer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makenothing/article/details/79670702
版权
WebServer 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
OpenSSL
8 篇文章 0 订阅
订阅专栏
Nginx
4 篇文章 0 订阅
订阅专栏

1. Nginx https相关配置

官方说明:详细看这里

本文主要针对以下两个主要配置从代码层次进行分析:
协议配置:

Syntax: ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];
Default:    
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Context:    http, server

以及加密套件配置

Syntax: ssl_ciphers ciphers;
Default:    
ssl_ciphers HIGH:!aNULL:!MD5;
Context:    http, server

Nginx的虚拟主机配置,使多个网站可以部署在同一个服务器(同一IP地址)对外提供服务。但是在实际测试中发现,虽然两个配置都在server 块内,ssl_protocols 却属于全局配置,而 ssl_ciphers 却针对特定的虚拟主机起作用。

server {
    server_name www.a.com;     
    ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256;
    ssl_protocols       TLSv1.2;

    # 其他配置略
    }
server {
    server_name www.b.com;     
    ssl_ciphers          ECDHE-RSA-AES256-GCM-SHA384;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

    # 其他配置略
    }

这里存在一个问题:

  1. 当存在多个server块的时候,即使两个(如上)ssl_protocols 的配置不同,但是浏览器访问(携带SNI信息)www.a.com的时候,仍然可以使用 TLSv1 TLSv1.1 协议,即使没有配置。

  2. 而ssl_ciphers得配置就可以根据域名来区分开来。

    从Nginx的使用文档上来看,两者的配置生效区域相同,却发挥了不同的作用。于是从源码开始分析原因在哪里。

2 Nginx源码分析

Nginx在启动过程中,加载配置文件的时候,对于每个server块的解析,会调用ngx_int_t ngx_ssl_create(ngx_ssl_t *ssl, ngx_uint_t protocols, void *data) 这个函数。

看参数,其中 protocols 就是配置文件中对应的配置项,他是一个 ngx_uint_t 类型,Nginx中关于协议的标志是:ngx_event_openssl.h中定义

#define NGX_SSL_SSLv2    0x0002
#define NGX_SSL_SSLv3    0x0004
#define NGX_SSL_TLSv1    0x0008
#define NGX_SSL_TLSv1_1  0x0010
#define NGX_SSL_TLSv1_2  0x0020

可以看到,每种协议占一位,protocols 的取值就是各个协议做或运算得到的值。比如上文中第一个配置,只有TLSv1.2,那protocols =0x0020【十进制32】,如果是TLSv1 TLSv1.1 TLSv1.2,那就是 protocols = 0x0020 | 0x0010 | 0x0008 = 0x0038【十进制56】。
那么问题来了,造成server间protocols配置混乱的一定是其中某个地方出错了。
那么我们可以先看一下这个protocols的取值是不是对应两个server的取值,就可以看到是不是一开始解析配置文件的时候,就搞错了,于是Nginx源码debug 分析。
得到如下:

(gdb) b ngx_event_openssl.c:ngx_ssl_create
Breakpoint 1 at 0x473b91: file src/event/ngx_event_openssl.c, line 234.
(gdb) r
Breakpoint 1, ngx_ssl_create (ssl=0x9ad548, protocols=56, data=0x9ad540)
    at src/event/ngx_event_openssl.c:234
(gdb) p protocols
$1 = 56
(gdb) c
Continuing.
Breakpoint 1, ngx_ssl_create (ssl=0x9bec60, protocols=32, data=0x9bec58)
    at src/event/ngx_event_openssl.c:234
(gdb) p protocols
$2 = 32

可以看到,没问题,一个32,一个65,没毛病!
那只能继续往下跟踪了。
接下来马上进入Openssl的源码了,看一下nginx在调用Openssl接口的地方代码:

if (!(protocols & NGX_SSL_SSLv2)) {
        SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_SSLv2);
    }
    if (!(protocols & NGX_SSL_SSLv3)) {
        SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_SSLv3);
    }
    if (!(protocols & NGX_SSL_TLSv1)) {
        SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_TLSv1);
    }
#ifdef SSL_OP_NO_TLSv1_1
    SSL_CTX_clear_options(ssl->ctx, SSL_OP_NO_TLSv1_1);
    if (!(protocols & NGX_SSL_TLSv1_1)) {
        SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_TLSv1_1);
    }
#endif
#ifdef SSL_OP_NO_TLSv1_2
    SSL_CTX_clear_options(ssl->ctx, SSL_OP_NO_TLSv1_2);
    if (!(protocols & NGX_SSL_TLSv1_2)) {
        SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_TLSv1_2);
    }
#endif
# define SSL_OP_NO_SSLv2                                 0x01000000L
# define SSL_OP_NO_SSLv3                                 0x02000000L
# define SSL_OP_NO_TLSv1                                 0x04000000L
# define SSL_OP_NO_TLSv1_2                               0x08000000L
# define SSL_OP_NO_TLSv1_1                               0x10000000L

大概意思就是,如果没有定义SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2那么就调用接口SSL_CTX_set_options 进入Openssl来设置协议。

3 Openssl源码分析

版本:Openssl-1.0.2j

源码文件 ssl.h

# define SSL_CTX_set_options(ctx,op) \
        SSL_CTX_ctrl((ctx),SSL_CTRL_OPTIONS,(op),NULL)
# define SSL_CTX_clear_options(ctx,op) \
        SSL_CTX_ctrl((ctx),SSL_CTRL_CLEAR_OPTIONS,(op),NULL)
# define SSL_CTX_get_options(ctx) \
        SSL_CTX_ctrl((ctx),SSL_CTRL_OPTIONS,0,NULL)
# define SSL_set_options(ssl,op) \
        SSL_ctrl((ssl),SSL_CTRL_OPTIONS,(op),NULL)
# define SSL_clear_options(ssl,op) \
        SSL_ctrl((ssl),SSL_CTRL_CLEAR_OPTIONS,(op),NULL)
# define SSL_get_options(ssl) \
        SSL_ctrl((ssl),SSL_CTRL_OPTIONS,0,NULL)

所以要去看 SSL_CTX_ctrl 的源码

源码文件 ssl_lib.c
SSL_CTRL_OPTIONS 的值是32 在下面代码中有个switch(cmd)
关键代码

long SSL_CTX_ctrl(SSL_CTX *ctx, int cmd, long larg, void *parg)
{
...
switch (cmd) {
        ...
        case SSL_CTRL_CLEAR_OPTIONS:
        return (ctx->options &= ~larg);
        ...
        }
}

最后的操作是: ctx->options &= ~larg

再回到Nginx 源码:
对于每种协议,都要调用一次 SSL_CTX_set_options(ssl->ctx, SSL_OP_NO_XXXXX);
也就是 ssl->ctx->options &= ~SSL_OP_NO_XXXXX

先写到这里,稍后继续……

You can overload ssl_ciphers. You can’t overload ssl_protocols
because OpenSSL works this way: it selects the protocol used
before SNI callback (and this behaviour looks more or less natural
beacause the existance of SNI depends on the protocol used, and,
for example, you can’t enable SSLv3 in a SNI-based virtual host).

.

In general, whether or not some SSL feature can be tweaked for
SNI-based virtual hosts depends on two factors:

  • if it’s at all possible;
  • how OpenSSL handles it.

In some cases nginx also tries to provide per-virtualhost support
even for things OpenSSL doesn’t handle natively, e.g., ssl_verify,
ssl_verify_depth, ssl_prefer_server_ciphers.

补充相关链接 :https://mailman.nginx.org/pipermail/nginx/2017-January/052802.html

CAPTIAN船长
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
nginx配置https ssl 安全协议
12-05
nginx配置https ssl 安全协议nginx配置https ssl 安全协议
nginx配置ssl证书
ApexPredator的博客
03-04 516
nginx配置ssl证书
Nginx配置SSL证书
最新发布
krb___的博客
03-25 1214
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
nginx配置
yajie_china的博客
11-28 178
目录   0.nginx配置 1.main模块 2.event 模块 3.http模块 3.1基础配置          3.2.日志配置 3.3.SSL证书配置(常用与https服务配置) 3.4.压缩配置 3.5.文件缓存配置 4.server配置 5.localtion模块 5.1.基本配置: 5.2.反向代理配置方式 5.3.uwsgi配置 6.upstre...
Nginx使用SSL模块配置https支持.rar_nginx_ssl
09-15
Nginx配置SSLNginx使用SSL模块配置https支持
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
HTTPS基础原理和配置-3
east4ming的博客
02-15 1506
书接上文:HTTPS 基础原理和配置 - 2,接下来介绍: 配置 NGINX 后端 HTTPS 检查配置 配置 HSTS OCSP Stapling 重要部分来了。如何使用这些选项并配置NGINX? 一、NGINXHTTPS 配置 这里有一些基本的原语(或叫做指令),你可以使用:ssl_certificate、ssl_certificate_key、ssl_protocolsssl_ciphers。 1.1 NGINX 配置参数(OpenSSL) 在开始之前: NGINX 处理 TLS 的方式
Nginx配置ssl证书(https证书)
热门推荐
u010797364的博客
10-19 1万+
Nginx配置SSL安全证书
SSL证书的安全性和兼容性配置指南
安信SSL证书
12-18 2580
一、SSL协议选择 1,只使用安全协议版本TLSv1.1和TLSv1.2. 以apache为例,查招apache配置文件,找到SSLProtocol字段,去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注释(或者自己写也可以)。 2,如果你需要让网站支持一些老旧的浏览器或操作系统,那么请输入SSLProtocol All -SSLv2 -SSLv3即可。 ...
NGINX SSL配置之设置HTTPS服务器
YunWisdom
11-21 1227
NGINX SSL配置 本节介绍如何在NGINXNGINX Plus上配置HTTPS服务器。 设置HTTPS服务器 要设置HTTPS服务器,请在您的nginx.conf文件中的块中ssl将该listen指令的参数包括在内server,然后指定服务器证书和私钥文件的位置: server { listen 443 ssl; serve...
手把手教学|Nginx 如何配置 HTTPS 服务器
m0_70556273的博客
09-27 1253
✍在这个例子中,http://www.godaddy.com 服务器 0 号证书的主题(" s ")是由颁发者(" i ")签名的,而它本身就是 1 号证书的主题,它又由它的颁发者("i")签名,而它的颁发者又是 2 号证书的主题("s"),它又由著名的颁发机构 ValiCert, Inc 签名。而它的证书存储在浏览器的内置证书库中。✍浏览器通常会存储它们收到的并由受信任的权威机构签署的中间证书,因此活跃使用的浏览器可能已经拥有所需的中间证书,并且可能不会抱怨在没有链接包的情况下发送的证书。
Vue项目部署Nginx配置文件 SSL
08-11
Vue项目结果build编译后,放在Nginx的html文件夹内,替换该配置文件,就可以在Nginx服务器上运行Vue项目
nginx环境下配置ssl加密(单双向认证、部分https
09-30
主要介绍了nginx环境下配置ssl加密(单双向认证、部分https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
详解nginx使用ssl模块配置HTTPS支持
09-30
本篇文章主要介绍了详解nginx使用ssl模块配置HTTPS支持 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解nginx使用ssl模块配置支持HTTPS访问
09-30
主要介绍了详解nginx使用ssl模块配置支持HTTPS访问,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx_https+tomcat_http配置.docx
04-03
nginx配置https反向代理到tomcat的http,包括windows版本和linux版本的软件下载,安装,配置
SSL和TLS-SSL Protocol介绍
weixin_43364172的博客
11-07 8387
SSL和TLS-SSL Protocol介绍 SSL协议是客户端/服务器协议,向双方提供基本的安全服务: 认证(端和数据来源认证) 连接机密性服务 连接完整性服务(不能恢复) 尽管SSL协议使用公钥(public key)加密,它不提供源(origin)和完整性的不可否认(nonrepudiation)服务。 SSL协议是sockets-oriented,意味着通过网络socket发送或者接收...
Nginx 配置 TLSv1.2 协议失效的问题
Jecci
05-28 3218
需要禁用之前的ssl_protocols协议,并启用下面的协议ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 如果一份配置文件里,有多个域名的server配置,需要全部改掉才可以。 listen 443 ssl; server_name xxxxx; charset utf-8; #ssl on; ssl_certifi...
深入浅出学习透析Nginx服务器的基本原理和配置指南「Https安全控制篇」
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
11-21 5838
之前的内容中我们主要针对于一些对安全性要求比较高的站点,可能会使用HTTPS(一种使用SSL通信标准的安全HTTP协议),针对于HTTP 协议SSL标准相信大家都知道了,在这里我就不为大家进行介绍了,如果需要了解,大家可以查看一下相关的资料哈,但是对于使用Nginx配置https需要了解一下基础内容的。
nginx添加ngx_http_ssl_module
06-07
如果您需要在 Nginx 中使用 SSL/TLS,您需要加载 `ngx_http_ssl_module` 模块。要加载此模块,请按照以下步骤进行操作: 1. 检查 Nginx 是否支持 ngx_http_ssl_module 在终端中输入以下命令: ``` nginx -V ``` 如果输出中包含 `--with-http_ssl_module`,则表示 Nginx 已经支持 ngx_http_ssl_module。 2. 编辑 Nginx 配置文件 如果您的 Nginx 配置文件中没有以下内容,请编辑 Nginx 配置文件,并添加以下内容: ``` http { # 其他配置 # 加载 SSL 模块 ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA; ssl_certificate /path/to/ssl_certificate; ssl_certificate_key /path/to/ssl_certificate_key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # 其他配置 } ``` 请将 `/path/to/ssl_certificate` 和 `/path/to/ssl_certificate_key` 替换为您的 SSL 证书和私钥的实际路径。 3. 重新加载 Nginx 配置 在更改 Nginx 配置文件后,需要重新加载 Nginx 配置以使更改生效。您可以使用以下命令重新加载 Nginx 配置: ``` sudo nginx -t && sudo nginx -s reload ``` 现在,您的 Nginx 已经支持 ngx_http_ssl_module 模块了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值