随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要
TLS 1.3 加密协议是在 TLS 1.0 、TLS 1.1 、TLS 1.2 之前版本基础上进行的升级和改造,也是迄今为止改动最大的一次,IETF 正在制定 TLS 1.3 的新标准。相比 TLS 1.2 ,TLS 1.3 的主要区别在于:
1、新的加密套件只能在 TLS 1.3 中使用,旧的加密套件不能用于 TLS 1.3 连接;
2、添加了0-RTT 模式,在建立连接时节省了往返时间(以某些安全性为代价);
3、废除了静态的 RSA( 不提供前向保密 )密钥交换,密钥交换机制现在可提供前向保密;
4、ServerHello 之后的所有握手消息采取了加密操作;
5、TLS 1.2 版本的重协商握手机制已被弃用,TLS 1.3 中重新协商变为不可行了;
6、相比过去的的版本,会话恢复在服务端是无状态的,使用了新的 PSK 交换;
7、DSA 证书不再允许在 TLS 1.3 中使用;
更快的访问速度
增强安全性
可以减少 TLS 握手的时间
方法:
1、宝塔面板升级Nginx 切换到 Nginx1.15 版本
2、切换到 Nginx1.15 版本 以后 打开网站配置文件 如下图
3、将 图中 标记的 26 和 27 行
26行: ssl_protocols 后面加上 TLSv1.3
27行: ssl_ciphers 改成
TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;
4 、如果在乎SSL 评分的话 可以吧 26 行 的 TLSv1 删除,因为TLSv1不合PCI DSS规范
5、完成以后记得重启
6、在线检测地址 :https://www.ssllabs.com/ssltest/analyze.html
支付宝扫一扫
微信扫一扫
企鹅扫一扫