配置 Nginx SSL 避免不够安全的加密算法

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量4.3w 收藏 24
点赞数 4
分类专栏: Nginx 文章标签: nginx 安全 加密 算法 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/warrior_wjl/article/details/25000541
版权

   如果Web服务中的SSL协议出现安全问题,攻击者就可以拥有你所有的安全信息。Nginx使用ssl模块配置HTTPS支持,就会遇到这个问题。

  通过命令: nmap --script ssl-cert,ssl-enum-ciphers -p 443(host),就可以看到如下部分信息:

  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA - broken
|       TLS_ECDH_anon_WITH_AES_128_CBC_SHA - broken
|       TLS_ECDH_anon_WITH_AES_256_CBC_SHA - broken
|       TLS_ECDH_anon_WITH_RC4_128_SHA - broken
|       TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 - weak
|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - weak
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong

在上面的片段中我们看到了weak、strong字段,weak都是40位加密的,strong应该都在128位以上。

如果在配置 Nginx 的 SSL 时不指定 ssl_ciphers,那么默认允许使用的加密算法和协议将会包括一些已经证实不够安全的算法及协议,比如对称加密密钥不足 128-bit 的算法等,也就是SSL协议包含很多算法,其中有一些128位以下的较容易被破解需要禁用。为了保证 SSL 连接足够安全,将128位以下弱加密算法禁用在配置时应该明确指定算法:

ssl_ciphers HIGH:!ADH:!MD5;

编辑配置文件nginx.conf,把这句加在 server 配置节里就可以了,在浏览器使用不安全的算法时,会自动禁止连接。


warrior_wjl
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx 配置ssl加密
li3007liuu的专栏
07-29 805
1.默认nginx是没有安装ssl模块的,需要编译安装nginx时加入–with-http_ssl_module选项。 2.阿里云申请Symantec证书 以下链接进行证书购买(选择免费DVssl):https://common-buy.aliyun.com/?spm=5176.7968328.231195.1.7FheST&commodityCode=cas#/buy 按照下面链接进行操作:
Nginx服务器中关于SSL安全配置详解
01-10
本文向你们展示如何在nginx的web服务器上设置更强的SSL。我们是通过使SSL无效来减弱CRIME攻击的这种方法实现。不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually Labs SSL 测试中得到了A等级。 我们在nginx的设置文档中如下编辑 代码如下:/etc/nginx/sited-enabled/yoursite.com (On Ubuntu/Debian)或者在 代码如下:/etc/nginx
Nginx 配置 SSL(HTTPS)详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-25 3136
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
解决nginx 不支持ssl
daixyhymn
08-26 801
进入nginx 源代码目录 cd /usr/local/nginx/nginx-1.1.10 执行 ./configure --prefix=/usr/local/nginx --with-http_ssl_module make make install 进入sbin 目录 执行 ./nginx -t ./nginx -s reload 另: 启动 ./nginx 停机 ./nginx -s s...
haproxy的ssl算法修复
luminous_you的博客
05-17 578
ssl-default-bind-options 设置ssl协议 一般要禁止sslv3 no-sslv3 使用tlsv1.2 force-tlsv12 ssl-default-bind-ciphers 设置加密套件 一般设置为 ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE https://blog.51cto.com/yw666/2486637 ..
Nginx五种算法
ck784101777的博客
08-30 792
1.round robin(默认) 轮询方式,依次将请求分配到各个后台服务器中,默认的负载均衡方式。 适用于后台机器性能一致的情况。 挂掉的机器可以自动从服务列表中剔除(nginx自带健康检查)。 2.weight 根据权重来分发请求到不同的机器中,指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。 例如: upstream bakend { se...
nginx配置ssl加密(单/双向认证、部分https)
weixin_34174322的博客
06-01 488
nginx配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番。一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的。所以就试了...
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书)
09-30
**注意**:为了提高安全性,建议使用较新的SSL/TLS协议和加密套件,如TLSv1.2或更高版本,以及更安全加密算法。同时,启用HSTS(HTTP Strict Transport Security)和预加载列表,以强制浏览器始终使用HTTPS连接。 ...
Nginx、Apache、Lighttpd禁止目录执行php配置示例
09-30
在服务器管理中,确保Web服务器的安全性至关重要。其中一项措施是禁止特定目录执行PHP脚本,以防止未经授权的代码执行和潜在的安全风险。本篇文章将详细介绍如何在Nginx、Apache和Lighttpd这三种流行的Web服务器上...
keytool和ssl配置
03-17
2. **配置服务器**:在Web服务器(如Apache或Nginx)中,配置SSL证书和私钥的位置,以及相关的SSL参数,如SSL版本、加密套件等。 3. **客户端配置**:客户端浏览器会自动处理与服务器的SSL握手过程,但如果需要,...
NGINX修复弱口令漏洞
algebra007的博客
06-03 1919
前两天的工作内容小记。 这两天收到很多弱口令漏洞,因为我们的http转https很多时候都是通过深信服AD来配置的,所以很多修复工作是网络管理员在做。但是个别几个https是通过NGINX代理来做的,因此我这个系统管理员也需要在NGINX上进行漏洞封堵。 收到的弱口令漏洞列表如下: 47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2 53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2 60 TLS_RSA_WITH_AES_128_CBC_SHA2
tomcat cipher suiters ssl加密套件配置
w1213096890的博客
03-09 8234
背景知识cipher 是由服务进行端选择的。服务端选择之前会和客户端进行协商,优先选择客户端支持的cipher。如果客户端支持的cipher都不被服务端支持,则通信异常。Tomcat设置cipher的方法为:在server.xml中SSL connector中的ciphers字段中设置相应的套件。Tomcat7.0支持设置cipher的优先顺序,但需要Tomcat 7.0.60以上版本及JAVA ...
TLS1.2 RFC5246详解
SkyChaserYu的博客
04-28 4096
注:本文省略了部分开发协议才涉及到的内容,如字段类型的定义以及字段长度的运算,主要聚焦理解tls协议的运作方式,用于问题定位 tls协议包含2层协议:TLS Record 协议和TLS Handshake协议,底层采用可靠传输协议(如TCP),TLS Record协议通过如下方式实现数据的安全传输: 链路是私有的,使用对称加密方式对应用数据进行加密。对每条链路来说,对称加密使用的key是各自独...
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 7205
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Linux下nginx配置https协议访问
qingxing_的博客
07-07 730
1. 去阿里云SSL证书购买证书 2. 审核通过后下载nginxssl证书 3. 解压出来两个文件 xxx.pem, xxx.key 4. 在服务器 nginx安装目录(一般/usr/local/nginx/conf)下创建目录cert,并将两个文件上传至此目录下 5.修改Nginx安装目录/conf/nginx.conf文件 # HTTPS server server { listen 443; server_name localhost; s...
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】修复方案
qq_45373631的博客
05-09 6925
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了RC4算法,修改配置文件就可以了。2.重启nginx服务 systemctl restart nginx.service。如果你是其它中间件原理是一样的,你需要找到你中间件的配置文件然后 禁用RC4:!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。反正不要使用RC4算法就好。2.重启apache服务。1.ssh禁用RC4算法。2.重启sshd服务。
使 JDK 支持 TLS_RSA_WITH_AES_256_CBC_SHA256 加密套件
HD243608836的博客
01-29 3193
最近,需要写一个支持 TLS 加密通讯的转发程序。     采用 Netty 框架。     客户端一方提出,需要使用采用 TLS_RSA_WITH_AES_256_CBC_SHA256 的 ciphersuite 进行加密。     于是,在 Netty 中设置, [java] view plain copy privat
Nginx配置https
mocoll的博客
03-04 1967
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
一个实际问题分析及解决之三:websphere中SSL配置及使用
学习日记
05-08 8534
SSL配置是websphere security中很重要的一部分,具体详细阅读下面内容。 http://www.ibm.com/developerworks/websphere/techjournal/0612_birk/0612_birk.html 这里重点分析两个问题:KeyStore和TrustStore的区别以及如何使用websphere的ssl配置。 一.
nginx ssl配置详解
08-17
Nginx是一款高性能的Web服务器和反向代理服务器,它也支持SSL/TLS加密协议。为了配置NginxSSL/TLS,你需要进行以下步骤: 1. 获取SSL证书:首先,你需要从可信任的证书颁发机构(CA)或者使用自签名证书来获取SSL证书。证书一般包括公钥、私钥和证书链。 2. 将证书文件放置在合适的位置:将获取到的证书文件放置在一个安全的目录中,例如"/etc/nginx/ssl/"。 3. 配置SSL参数:在Nginx配置文件中,找到需要启用SSL的server块。在该块中添加以下配置参数: ``` listen 443 ssl; ssl_certificate /etc/nginx/ssl/certificate.crt; # SSL证书文件路径 ssl_certificate_key /etc/nginx/ssl/private.key; # 私钥文件路径 ``` 这些配置项指定了监听端口为443,并且指定了SSL证书和私钥的路径。 4. 配置SSL协议和密码套件:为了增强安全性,你可以配置Nginx使用特定的SSL协议版本和密码套件。以下是一个示例配置: ``` ssl_protocols TLSv1.2 TLSv1.3; # 仅启用TLSv1.2和TLSv1.3协议 ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512; # 指定密码套件 ssl_prefer_server_ciphers on; # 优先使用服务器指定的密码套件 ``` 这个示例配置启用了TLSv1.2和TLSv1.3协议,并且指定了密码套件。 5. 重启Nginx服务:完成以上配置后,保存并退出Nginx配置文件。然后,使用命令重启Nginx服务,以使配置生效。 ``` sudo service nginx restart ``` 配置完成后,Nginx将开始通过HTTPS监听443端口,并使用配置SSL证书进行加密通信。请确保你的SSL证书有效,并按照最佳实践进行SSL/TLS配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值