nginx(七十九)nginx与tls/ssl续

已于 2023-10-16 10:52:16 修改
阅读量749 收藏
点赞数
分类专栏: nginx 文章标签: nginx https
于 2023-09-25 19:47:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/133245502
版权

一  nginx与tls/ssl续

说明: 本文是基于'tls/ssl'学习之后,对'之前所写tls/ssl博客'的补充,'重复的'不再啰嗦

curve: '[椭圆] 曲线'

补充: 会'不定期'的补充

教育: 解决问题为出发点,不要停留在理论上

​遗留: wiresahrk分析TLS '1.2' '1.3' 握手各个'过程'

优化TLS/SSL性能该从何下手?

①   背景铺垫

http_ssl模块 client与nginx的ssl握手

nginx与上游的ssl握手续

TLS/SSL专栏

②   nginx作为服务端与client之间的tls变量

core模块: $https 、$proxy_protocol_tlv_name '1.23.2 [了解]'、'$scheme'

③  ssl_conf_command和ssl_reject_handshake补充

ssl_conf_command Options PrioritizeChaCha;

等效于'SSL_OP_PRIORITIZE_CHACHA'

1.19.4+ ssl_conf_command和ssl_reject_handshake 特性

背景: 为了当'机器人或者奇怪的人类'通过HTTPS访问你的ip时'不暴露'证书,也就不会暴露'域名'

server {
    listen               443 ssl;
    ssl_reject_handshake on;
}

server {
    listen              443 ssl;
    server_name         example.com;
    ssl_certificate     example.com.crt;
    ssl_certificate_key example.com.key;
}

含义: 除'example.com'以外,其他'域名'的SSL握手将'被拒绝'

特点: '返回UNRECOGNIZED NAME',Chrome提示'ERR_SSL_UNRECOGNIZED_NAME_ALERT'

使用Kernel TLS 和 SSL_sendfile( ) 提高 NGINX 性能

推荐: 'http作用域'使用

ssl_conf_command Options KTLS;

ssl_protocols TLSv1.3;

ssl_conf_command ciphersuites指令来配置加密套件

1、'默认'加密套件

ssl_conf_command ciphersuites DEFAULT;

2、'启用TLSv1.2'协议,并使用'AES128-SHA256'和'AES128-SHA'算法进行加密

ssl_conf_command ciphersuites TLSv1.2+AES128-SHA256:TLSv1.2+AES128-SHA;

备注: Ciphersuites指定了'SSL/TLS'使用的'加密'协议,'密钥交换'算法,加密算法和MAC算法组合

④  ssl_ciphers再探

需求: ssl_ciphers 禁止'不安全'的加密套件,只允许'有限 [白名单]'安全的加密套件?

⑤  新特性补充

⑥  nginx 自身 495 496 497 状态码

目的: 通过这些'状态码'几个'error+page'指令尽早的'发现'问题

eg: 当'客户端'证书过期了,给'客户端'一个'明显'的'错误'信息

++++++++++++  '简述'  ++++++++++++

495: 客户端提供了一个'无效'的证书               --> "证书过期"

496: 需要客户端提供 'SSL 证书',客户端却没有提供  --> "双向认证"

497: HTTP 请求发送到了'HTTPS'                --> 常见'http'请求到'https端口'

⑦  

cat /proc/sys/kernel/random/entropy_avail

诶精: 一般是云上'虚拟机'的场景,随机数产生的'太慢',需要 '> 1000'

https证书加解密熵不足安装haveged   Linux中使用haveged对/dev/random补熵  熵不足

⑧   如何使用wiresahrk解密TLS/SSL报文

wzj_110
关注
专栏目录
NginxSSL/TLS:实现HTTPS安全通信的最佳实践
java专栏
09-07 1175
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
介绍NginxSSL/TLS加密支持功能,并学习怎么使用
LJH_java10086的博客
10-09 583
在本文中,我们将介绍如何使用NginxSSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置NginxSSL / TLS支持:在Nginx的配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持的配置项。你需要将它们保存在安全的地方。
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7628
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
nginxTLS1.3配置
enjoy.day
11-29 8511
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 2743
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx实现tcp代理并支持TLS加密实验
向往天空的鱼
11-08 2946
nginx代理tcp服务,实现客户端与服务器之间的TLS加密。
如何在Nginx中配置SSL/TLS
06-18
Nginx(发音为“engine-x”)是一个高性能的HTTP和...5. **SSL/TLS终端代理**: - Nginx支持SSLTLS协议,可以安全地代理HTTPS请求。 6. **模块化设计**: - Nginx的模块化设计允许开发者根据需要添加或修改功能。
SSL/TLS攻击介绍--重协商漏洞攻击
m0_66173671的博客
01-06 1812
SSL/TLS攻击介绍--重协商漏洞攻击
Nginx负载均衡/SSL配置的实现
09-29
Nginx支持SSL/TLS协议,可以配置为HTTPS服务器,提供安全的网络服务。 SSL配置通常包括以下步骤: 1. 获取SSL证书:从权威的证书颁发机构(如Let's Encrypt)获取SSL证书,包括公钥和私钥文件。 2. 配置Nginx:在...
NginxHTTPSSSL 终止与 Offloading
最新发布
java专栏
09-03 1702
SSL 终止(SSL Termination)是指在 Nginx 这样的反向代理服务器上结束 SSL/TLS 加密连接的过程。当客户端(比如你的浏览器)通过 HTTPS 协议发起请求时,请求首先到达 Nginx,然后 Nginx 解密这些请求,并将它们转发给后端的应用服务器。这样做的好处是,后端服务器只需要处理未加密的 HTTP 请求,而不需要自己处理 SSL 加密解密的工作。
Nginx禁用TLS 1.0和TLS 1.1
热门推荐
zyy247796143的博客
07-01 1万+
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
Nginx 进阶】4、SSL/TLS 配置
weixin_52938153的博客
05-31 767
Nginx(发音为“engine-x”)是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3代理服务器。由俄罗斯的程序员Igor Sysoev所开发,首个公开版本发布于2004年。Nginx是免费的开源软件,遵循类BSD许可协议的条款发布。 Nginx的设计优化重点在于高并发、高性能和低内存使用。在架构上,Nginx使用异步事件驱动的方法,这使得它在处理大量并发连接时表现出色,特别是在处理静态资源、反向代理或负载平衡时,效率极高。由于其稳定性和轻量级的资源占用,Nginx非常适合在现代的
SSL/TLS深度解析--在 Nginx 上部署 TLS
weixin_33770878的博客
11-26 3436
利用 openssl 源代码安装 Nginx [root@localhost software]# tar xf nginx-1.15.5.tar.gz [root@localhost software]# cd nginx-1.15.5/ [root@localhost nginx-1.15.5]# groupadd nginx [root@localhost nginx-1.15.5]# u...
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 1260
学习Nginx(十四):配置SSL/TLS支持HTTPS
探索TLS协议:版本演进与Nginx配置小指南
weixin_40803183的博客
08-17 122
引言传输层安全协议(Transport Layer Security,简称TLS)是互联网安全通信的基础。TLS提供了数据加密、数据完整性和身份验证,确保数据在传输过程中不被窃取或篡改。本文将详细介绍TLS的各种版本、它们的技术细节与区别、如何在Nginx中配置TLS,以及不同应用场景下的最佳实践。TLS版本概述SSL 1...
已解决SSLException: Unrecognized SSL message, plaintext connection异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-18 1万+
已解决SSLException: Unrecognized SSL message, plaintext connection异常的正确解决方法,亲测有效!!!
apache和nginxTLS1.0和TLS1.1禁用处理方案
Bertram的博客
02-10 6038
apache和nginxTLS1.0和TLS1.1禁用处理方案
Nginx配置https
mocoll的博客
03-04 2144
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
httpsok-nginx资源:部署SSL/TLS与Let's Encrypt
SSL/TLS协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。 2. SSLTLS SSL(Secure Sockets Layer,安全套接字层)是netscape公司设计的主要用于web的安全传输协议。TLS(Transport Layer ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值