那些遇到过的问题

以正确的方式将密码套件添加到 nginx 配置

Has*_*aig 5 ssl nginx

我需要添加ssl_ciphers我的 nginx 配置。根据https://wiki.mozilla.org/Security/Server_Side_TLS,以下是推荐的密码套件(具有中间兼容性):

Cipher suites (TLS 1.3): TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

Cipher suites (TLS 1.2): ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
Run Code Online (Sandbox Code Playgroud)

我的问题很简单:如何在 nginx 配置中添加 TLS 1.3 和 TLS 1.2 套件?

像这样?

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256';

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
Run Code Online (Sandbox Code Playgroud)

Lud*_*uty 9

Mozilla 工具是一个很好的工具,可以满足您的需求。这个问题(以及相关的答案)和提供的链接对于理解配置指令的工作原理也很有趣。

配置如下:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
Run Code Online (Sandbox Code Playgroud)

这是 Mozilla 中间配置:

  • ssl_protocols TLSv1.2 TLSv1.3启用版本 1.2 和 1.3。请注意,1.3 版本的所有密码都会自动启用,我们无需执行任何操作,而且该指令ssl_ciphers仅提供 1.2 版本的密码。
  • ssl_ciphers:TLS 1.2 的所有密码。
  • ssl_prefer_server_ciphers off:让客户端在服务器提供的密码中为其硬件配置选择性能最高的密码套件。比照。为什么“ssl_prefer_server_ciphers 关闭”?
  • 如果您只想要 TLS 1.3,请阅读Nginx with only TLS1.3 cipher suites,因为有一个陷阱。您还可以使用答案中的工具来检查提供了哪些密码,以及最新版本的openssl(例如OpenSSL 1.1.1l 24 Aug 2021)。
$ ./test_ciphers.sh <put IP here>:443
Using OpenSSL 1.1.1l 24 Aug 2021.
Using tls1_1
Testing ECDHE-ECDSA-AES256-SHA         ... NO (tlsv1 alert protocol version)
...
Using tls1_2
Testing ECDHE-ECDSA-AES256-GCM-SHA384  ... NO (sslv3 alert handshake failure)
...
Testing ECDHE-RSA-AES256-GCM-SHA384    ... YES
Testing ECDHE-RSA-CHACHA20-POLY1305    ... YES
Testing ECDHE-RSA-AES128-GCM-SHA256    ... YES
Using tls1_3
Testing TLS_AES_256_GCM_SHA384         ... YES
Testing TLS_CHACHA20_POLY1305_SHA256   ... YES
Testing TLS_AES_128_GCM_SHA256         ... YES
Run Code Online (Sandbox Code Playgroud)

小智 6

请注意,TLSv1.1 和 TLSv1.2 参数(1.1.13、1.0.12)仅在使用 OpenSSL 1.0.1 或更高版本时才有效。仅当使用使用 TLSv1.3 支持构建的 OpenSSL 1.1.1 时,TLSv1.3 参数 (1.13.0) 才有效

ssl_protocols               TLSv1.2 TLSv1.3;
ssl_ciphers                 ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers   on;
Run Code Online (Sandbox Code Playgroud)

如果您的配置测试失败,则说明您的 nginx 版本不支持 tlsv1.3

$ nginx -t
nginx: [emerg] invalid value "TLSv1.3" in /etc/nginx/conf.d/<file>:34
nginx: configuration file /etc/nginx/nginx.conf test failed
Run Code Online (Sandbox Code Playgroud)

选择兼容的nginx版本,如果没有报错就说明一切正常。

归档时间:

查看次数:

42679 次

最近记录:

4 年,3 月 前
仅具有 TLS1.3 密码套件的 Nginx 6
更多相关链接
相关归档
Nginx 1 FastCGI 在 stderr 中发送:“主脚本未知” 107
如何在 IIS 7.5 上禁用 SSL 2.0? 14
openssl s_client 显示警报证书未知,但所有服务器证书似乎都已验证 8
nginx - 负载均衡器 - 上游节点离线/关闭时相当大的延迟 7
基于主机名的 SSL(单个 IP 上的多个 ssl 虚拟主机)背后的技术是什么? 4
nginx SSL 错误 4
使用字符串替换的 nginx url 重写 4
谷歌浏览器说我的 SSL 使用过时的安全设置,但其他站点测试不同意 4
如何决定使用 nginx 设置哪些 ssl_protocols 和 ssl_ciphers? 3
使用 SSL 的 Windows 2012 R2 网站托管 2
难疑归档
物理定位服务器 188
注销后保持Linux进程运行 145
我应该打开什么端口以允许远程桌面? 139
如何防止 apache 为 .git 目录提供服务? 95
你如何释放被死进程保持打开的端口? 83
我的 mysql 登录 OS X 在哪里? 79
更改 MySQL 用户的主机权限 69
如何检查后缀队列大小? 58
Mac OS X 上有哪些有用的命令行命令? 58
主机名 - 它们是关于什么的? 58