Nginx ssl 安全增强配置

最新推荐文章于 2024-05-24 22:00:15 发布
最新推荐文章于 2024-05-24 22:00:15 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38111667/article/details/88734600
版权

Nginx ssl 安全增强配置

参考 https://cipherli.st/ 直接复制后发现本地api 无法使用

Nginx

ssl_protocols TLSv1.3;# Requires nginx >= 1.13.0 else use TLSv1.2
ssl_prefer_server_ciphers on; 
ssl_dhparam /etc/nginx/dhparam.pem; # openssl dhparam -out /etc/nginx/dhparam.pem 4096
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_timeout  10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver_timeout 5s; 
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

ssl_ciphers 后边追加 ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
修改后
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

dendysan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nginx的反向代理及ssl配置
jks212454的博客
12-25 1421
Nginx的反向代理及ssl配置
Nginx配置HTTPS(SSL安全
Linvo's blog
05-24 6112
一、准备证书 通常情况下网站的SSL证书是由专门的CA机构(如VeriSign)颁发,同时需要交纳一定数额的费用。可是对于平时开发测试或其他情况下,我们自己也可以充当CA来生成自己颁发的证书。当然与前者相比缺很明显:不能获得各个浏览器的信任,会弹出警告提示。如: 好消息是,对安全性要求稍低的网站现在可以考虑使用免费的CA认证(貌似是其级别最低的证书)。    
增强NginxSSL安全性和性能
Dancen的专栏
07-30 5169
你的站启用https了吗?如果启用了,其安全性如何呢? 到站长工具: http://s.tool.chinaz.com/https/   输入网址检测一下,就可以看到报告: 以上这个结果说明基本OK。   报告下方有个配置指南,配置指南里有提到两: 1. 需要配置符合PFS规范的加密套件,推荐配置: ECDHE-RSA-AES128-GCM-SHA256:ECDHE:EC...
SSL密钥套件
stay hungry,stay foolish !
02-15 6622
SSL密钥套件
Nginx配置SSL时,需要关注哪些安全实践?
最新发布
长风破浪会有时的博客
05-24 161
坏人有时会偷偷修改我们网站的公钥,然后假装成我们的网站来欺骗访问者。为了防止这种情况发生,我们可以使用HTTP公共密钥固定功能,就像是在我们网站的锁上加一个特殊的标记,让访问者能够确认这把锁是真实的、没有被修改过的。所以,在Nginx配置SSL时,我们要选择禁用那些已经被证明不安全的方法,只使用更加强大的加密方法来保护我们的信息。就像是我们选择最新的玩具,因为它们通常有最新的功能和最好的性能,同样地,选择最新版本的Nginx和OpenSSL可以让我们享受到最新的安全修复和更新,从而让网站更加安全
nignx web服务器中ssl_ciphers配置项的配置
热门推荐
aa1382525的专栏
12-05 7万+
ssl_ciphers配置项的可选值由opensslciphers定义 查看openssl支持的加密套件 opensslciphers[-v][-ssl2][-ssl3][-tls1][cipherlist] -v:详细列出所有加密套件。包括ssl版本(SSLv2、SSLv3以及TLS)、密钥交换算法、身份验证算法、对称算法、摘要算法以及该算法是否可以出口。 -ssl...
nginx 使用SSL对流量进行加密
认知 行动 坚持
10-10 6725
说白了就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http. HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。 SSL(Secure Sockets Layer)安全套接层 TLS(Transport Layer Security)传输层安全 上述这两个是为网络通信提供安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用
nginx服务器的SSL证书配置详解
ligaoyuan00的博客
06-11 2645
先把下载好的证书丢到服务器上 nginx的话 有两个文件 一个是.key 一个是.pem结尾的两个文件 位置可以随便放 个人比较喜欢放到nginx目录下 配置文件 server { listen 80; server_name 域名; #监听443端口(必须) listen 443 ssl; #ssl ssl_certificate 下载的证书.pem; ssl_cer...
吐血整理,HTTPS看这篇就够了,一次给你说个明白
不会骑摩托的程序员不是好的摄影师
03-15 1252
本篇博客从安全的通信的四个特性开始,介绍完各种常见的加密方式(对称加密、非对称加密)后,为了方便理解HTTPS设计的原理尝试利用各种加密方式的组合一步步推导出一个完整安全的通信协议。后面对HTTPS的TLS握手、TLS协议的发展历史、HTTPS完整的通信过程进行了详细完整的说明。并且列举了各种HTTPS的优化方案,包括OSCP、会话复用等。在本篇博客的最后,进行了HTTPS配置的实战,帮助大家直上手HTTPS的完整配置过程。
Nginx服务器中关于SSL安全配置详解
09-30
本文旨在提供一种增强Nginx服务器SSL配置的方法,以防止潜在的安全威胁。 首先,为了抵御如CRIME攻击,我们需要避免使用存在安全隐患的SSLv3及以下版本。SSLv3由于其设计缺陷,容易遭受多种类型的攻击,例如POODLE...
nginx ssl加密代理配置指南
03-17
**Nginx SSL加密代理配置指南** 在网络安全日益重要的...总之,通过正确配置NginxSSL加密代理,您可以为用户提供安全的HTTPS访问,保护数据隐私并增强网站的可信度。记住定期更新证书和Nginx以保持最佳的安全性。
详解Nginx SSL快速双向认证配置(脚本)
09-30
为了增强安全性,你需要设置一些SSL加密参数,例如启用更安全的加密套件,配置DH参数,开启OCSP stapling等。这些参数可以帮助防止一些已知的加密漏洞。 3. **创建客户端证书** 双向认证需要客户端拥有有效的...
nginx 配置ssl 示例
03-25
`ssl_stapling`和`ssl_stapling_verify`开启OCSP Stapling,它能减少客户端的延迟并增强安全性。 `error_page`和`location`部分定义了当发生错误时,Nginx如何处理和显示错误页面。在这个例子中,如果发生500、502...
nginx ssl免密码重启教程详解
09-30
配置Nginx SSL不仅增强了网站的安全性,也提升了用户的信任度。通过上述步骤,你可以轻松地为你的Nginx服务器启用HTTPS并避免在重启时输入证书密码。在日常运维中,确保正确配置和更新SSL证书对于维护网站的安全性...
https原理及实践
weixin_30699741的博客
02-06 545
转载请注明出处 安全知识 网络安全问题 数据机密性 在网络传输数据信息时,对数据的加密是至关重要的,否则所有传输的数据都是可以随时被第三方看到,完全没有机密性可言。 数据机密性解决问题思路 利用算法 为了保证数据的机密性,首先可以采用的方法就是将数据通过相应算法,转换为其它的数据信息,然后再通过相应算法反推出真正的数据是什么,这样一来就保证了数据在网络传输过程中安全性,不会被其它人轻...
【07】NginxSSL
屹想天开
05-25 1403
nginx ssl
ssl_protocols和ssl_ciphers应该怎么配置
diaoju3333的博客
12-19 6464
http://wiki.nginx.org/HttpSslModule#ssl_ciphers 推荐配置: A)在Apache的SSL配置中禁用SSLv3和SSLv3SSLProtocol all -SSLv2 -SSLv3SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXPB)在Nginx只允许使用TLS协...
Nginx 配置SSL证书
学英语的程序员
10-12 4330
Nginx 配置SSL证书
疫情被裁员,大专毕业宅家6个月,逆袭月薪2w+
05-23 264
“世界上只有一种真正的英雄主义,那就是在认清生活的真相后依然热爱生活。” 这句话几乎是今天主人公的人生注脚 大专毕业后做客服;脱产学习软测后找到12k工作;被裁员后再次脱产学习;现在月薪2w+ 在讲述自己经历的时候,小哥哥说得最多的一句话就是:“没什么能比现在更差的了” 又丧又坚定 让我们一起走进他的故事吧~ 人物标签:大专毕业 疫情被裁员 脱产学习 Java测开4期 01 家中变故,让我决心改变 我是17年大专毕业的,毕业后学历使然,只能
nginx ssl配置详解
08-17
Nginx是一款高性能的Web服务器和反向代理服务器,它也支持SSL/TLS加密协议。为了配置NginxSSL/TLS,你需要进行以下步骤: 1. 获取SSL证书:首先,你需要从可信任的证书颁发机构(CA)或者使用自签名证书来获取SSL证书。证书一般包括公钥、私钥和证书链。 2. 将证书文件放置在合适的位置:将获取到的证书文件放置在一个安全的目录中,例如"/etc/nginx/ssl/"。 3. 配置SSL参数:在Nginx配置文件中,找到需要启用SSL的server块。在该块中添加以下配置参数: ``` listen 443 ssl; ssl_certificate /etc/nginx/ssl/certificate.crt; # SSL证书文件路径 ssl_certificate_key /etc/nginx/ssl/private.key; # 私钥文件路径 ``` 这些配置项指定了监听端口为443,并且指定了SSL证书和私钥的路径。 4. 配置SSL协议和密码套件:为了增强安全性,你可以配置Nginx使用特定的SSL协议版本和密码套件。以下是一个示例配置: ``` ssl_protocols TLSv1.2 TLSv1.3; # 仅启用TLSv1.2和TLSv1.3协议 ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512; # 指定密码套件 ssl_prefer_server_ciphers on; # 优先使用服务器指定的密码套件 ``` 这个示例配置启用了TLSv1.2和TLSv1.3协议,并且指定了密码套件。 5. 重启Nginx服务:完成以上配置后,保存并退出Nginx配置文件。然后,使用命令重启Nginx服务,以使配置生效。 ``` sudo service nginx restart ``` 配置完成后,Nginx将开始通过HTTPS监听443端口,并使用配置SSL证书进行加密通信。请确保你的SSL证书有效,并按照最佳实践进行SSL/TLS配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dendysan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值