nginx(七十九)nginx与tls/ssl续

已于 2023-10-16 10:52:16 修改
阅读量621 收藏
点赞数
分类专栏: nginx 文章标签: nginx https
于 2023-09-25 19:47:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/133245502
版权

一  nginx与tls/ssl续

说明: 本文是基于'tls/ssl'学习之后,对'之前所写tls/ssl博客'的补充,'重复的'不再啰嗦

curve: '[椭圆] 曲线'

补充: 会'不定期'的补充

教育: 解决问题为出发点,不要停留在理论上

​遗留: wiresahrk分析TLS '1.2' '1.3' 握手各个'过程'

优化TLS/SSL性能该从何下手?

①   背景铺垫

http_ssl模块 client与nginx的ssl握手

nginx与上游的ssl握手续

TLS/SSL专栏

②   nginx作为服务端与client之间的tls变量

core模块: $https 、$proxy_protocol_tlv_name '1.23.2 [了解]'、'$scheme'

③  ssl_conf_command和ssl_reject_handshake补充

ssl_conf_command Options PrioritizeChaCha;

等效于'SSL_OP_PRIORITIZE_CHACHA'

1.19.4+ ssl_conf_command和ssl_reject_handshake 特性

背景: 为了当'机器人或者奇怪的人类'通过HTTPS访问你的ip时'不暴露'证书,也就不会暴露'域名'

server {
    listen               443 ssl;
    ssl_reject_handshake on;
}

server {
    listen              443 ssl;
    server_name         example.com;
    ssl_certificate     example.com.crt;
    ssl_certificate_key example.com.key;
}

含义: 除'example.com'以外,其他'域名'的SSL握手将'被拒绝'

特点: '返回UNRECOGNIZED NAME',Chrome提示'ERR_SSL_UNRECOGNIZED_NAME_ALERT'

使用Kernel TLS 和 SSL_sendfile( ) 提高 NGINX 性能

推荐: 'http作用域'使用

ssl_conf_command Options KTLS;

ssl_protocols TLSv1.3;

ssl_conf_command ciphersuites指令来配置加密套件

1、'默认'加密套件

ssl_conf_command ciphersuites DEFAULT;

2、'启用TLSv1.2'协议,并使用'AES128-SHA256'和'AES128-SHA'算法进行加密

ssl_conf_command ciphersuites TLSv1.2+AES128-SHA256:TLSv1.2+AES128-SHA;

备注: Ciphersuites指定了'SSL/TLS'使用的'加密'协议,'密钥交换'算法,加密算法和MAC算法组合

④  ssl_ciphers再探

需求: ssl_ciphers 禁止'不安全'的加密套件,只允许'有限 [白名单]'安全的加密套件?

⑤  新特性补充

⑥  nginx 自身 495 496 497 状态码

目的: 通过这些'状态码'几个'error+page'指令尽早的'发现'问题

eg: 当'客户端'证书过期了,给'客户端'一个'明显'的'错误'信息

++++++++++++  '简述'  ++++++++++++

495: 客户端提供了一个'无效'的证书               --> "证书过期"

496: 需要客户端提供 'SSL 证书',客户端却没有提供  --> "双向认证"

497: HTTP 请求发送到了'HTTPS'                --> 常见'http'请求到'https端口'

⑦  

cat /proc/sys/kernel/random/entropy_avail

诶精: 一般是云上'虚拟机'的场景,随机数产生的'太慢',需要 '> 1000'

https证书加解密熵不足安装haveged   Linux中使用haveged对/dev/random补熵  熵不足

⑧   如何使用wiresahrk解密TLS/SSL报文

wzj_110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx配置https
mocoll的博客
03-04 1943
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7545
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
网络安全基础知识---nginx安全配置_nginx 的默认配置允许您使用不安全的日版tls协议(根据官方文档 ss protocs tls
2401_84254418的博客
04-29 397
ssl on;aNULL:!MD5;还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
介绍NginxSSL/TLS加密支持功能,并学习怎么使用
LJH_java10086的博客
10-09 486
在本文中,我们将介绍如何使用NginxSSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置NginxSSL / TLS支持:在Nginx的配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持的配置项。你需要将它们保存在安全的地方。
nginxTLS1.3配置
enjoy.day
11-29 8000
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1269
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx实现tcp代理并支持TLS加密实验
向往天空的鱼
11-08 2324
nginx代理tcp服务,实现客户端与服务器之间的TLS加密。
如何让Nginx快速支持TLS1.3协议详解
09-30
主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Nginx+SSL搭建 HTTPS 网站
01-20
超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统...
Nginx服务器中关于SSL的安全配置详解
01-10
本文向你们展示如何在nginx的web服务器上设置更强的SSL。我们是通过使SSL无效来减弱CRIME攻击的这种方法实现。不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够...
Nginx 启用 BoringSSL的配置方法
01-20
本文介绍以 BoringSSL 作为 ...而缺点是不能在 Nginx 下启用 tls1.3 协议,且 BoringSSL 自身容易编译失败。 本文介绍使用 BoringSSL 替代 Openssl 作为 Nginx 加密库的方式。 BoringSSL 首先你需要把 BoringSSL
微信小程序Server端环境配置详解(SSLNginx HTTPS,TLS 1.2 升级)
01-03
1. SSL免费证书申请步骤 2. Nginx HTTPS 配置 3. TLS 1.2 升级过程 微信小程序要求使用 https 发送请求,那么Web服务器就要配置成支持 https,需要先申请SSL证书 小程序也要求 TLS(传输层安全协议)的版本至少...
Nginx禁用TLS 1.0和TLS 1.1
zyy247796143的博客
07-01 9994
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
SSL/TLS深度解析--在 Nginx 上部署 TLS
weixin_33770878的博客
11-26 3067
利用 openssl 源代码安装 Nginx [root@localhost software]# tar xf nginx-1.15.5.tar.gz [root@localhost software]# cd nginx-1.15.5/ [root@localhost nginx-1.15.5]# groupadd nginx [root@localhost nginx-1.15.5]# u...
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 750
学习Nginx(十四):配置SSL/TLS支持HTTPS。
apache和nginxTLS1.0和TLS1.1禁用处理方案
Bertram的博客
02-10 5755
apache和nginxTLS1.0和TLS1.1禁用处理方案
sendfile函数
bugcat的博客
08-19 596
函数在两个文件描述符之间直接传递数据(完全在内核中操作),从而避免了内核缓冲区和用户缓冲区之间的数据拷贝,效率很高,这被称为零拷贝。参数是指从读入文件流的哪个位置开始读,如果为空,则使用读入文件流默认的起始位置。函数的文件描述符,即它必须指向真实的文件,不能是socket和管道。成功时返回传输的字节数,失败则返回-1并设置。几乎是专门为在网络上传输文件而设计的。则必须是一个socket。参数是待写入内容的文件描述符。参数是待读取内容的文件描述符。该函数的man手册明确指出,参数指定在文件描述符。
SSL/TLS攻击介绍--重协商漏洞攻击
海米一枚
01-05 3644
SSL/TLS重协商漏洞攻击
nginx 升级支持 TLS1.2,TLS1.3
06-08
要升级 nginx 支持 TLS1.2 和 TLS1.3,您需要进行以下步骤: 1. 确认您当前使用的 nginx 版本是否支持 TLS1.2 和 TLS1.3。如果不支持,您需要升级 nginx 版本。 2. 安装 OpenSSL 版本 1.1.1 或更高版本。TLS1.3 只能在 OpenSSL 1.1.1 或更高版本下使用。 3. 在 nginx 配置文件中启用 TLS1.2 和 TLS1.3。您可以在 nginx 配置文件中添加以下代码: ``` ssl_protocols TLSv1.2 TLSv1.3; ``` 4. 配置您的 SSL 证书以支持 TLS1.2 和 TLS1.3。您需要使用支持 TLS1.2 和 TLS1.3 的 SSL 证书。 5. 重新启动 nginx 服务,使配置的更改生效。 这样,您就可以升级 nginx 支持 TLS1.2 和 TLS1.3。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值