脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx快速支持TLS1.3协议

如何让Nginx快速支持TLS1.3协议详解

 更新时间:2018年04月21日 15:51:14   作者:虞大胆  
这篇文章主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。

前言

最近在看一些 TLS 协议 1.3 版本的相关知识,所以想分享一些信息,本文是第一篇,没有太多的理论细节,主要说下如何在 Nginx 上快速部署一个支持 TLS 1.3 协议版本的网站。

TLS 1.3 优势

TLS 1.3 相对于之前的版本,主要有两大优势:

Enhanced security: 安全性增强
Improved speed:速度提升

几个基本观点需要牢记。

1)截止到现在 TLS 1.3 协议仍然处于草案阶段,最新的 RFC 文档是 draft 28,对于大型系统来说,目前并不建议部署,当然对于个人网站来说,可以部署 TLS 1.3 版本 。

2)TLS 1.3 和 TLS 1.2 版本有很大的不同,从协议消息的角度来看,两者是不兼容的,也正因为此,大型系统目前不建议采用 TLS 1.3 版本。

关于这两个版本之间的差异,后续我会写文章详细描述。

3)Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本,最新的 OpenSSL 1.1.1-pre5 支持 TLS 1.3 draft 26。

这篇文章运行环境如下:

  • Ubuntu 14.04.5 LTS 系统
  • gcc version 4.8.4
  • Nginx nginx1.13.5
  • openssl1.1.1

如果大家在具体安装的时候,遇到各类问题,可能和软件版本、系统环境有关,需要查看手册或者在线 Google。

安装 OpenSSL

了解 TLS 1.3 版本,最好的工具就是 OpenSSL,所以第一步就是安装 OpenSSL 密码库和命令行工具。

运行如下命令:

$ cd /root 

# 下载源代码 
$ wget https://www.openssl.org/source/old/1.1.1/openssl-1.1.1-pre1.tar.gz 

$ cd openssl-1.1.1-pre1

$ grep TLS1_3_VERSION_DRAFT_TXT ./* -R
# 输出 draft 23 
./include/openssl/tls1.h:# define TLS1_3_VERSION_DRAFT_TXT "TLS 1.3 (draft 23)"

$ ./config --prefix=/usr/local/openssl1.1.1 --openssldir=/usr/local/openssl1.1.1 --libdir=lib shared -Wl,-R,'$(LIBRPATH)' -Wl,--enable-new-dtags enable-ec_nistp_64_gcc_128 enable-tls1_3

$ make 
$ make install
  • 在这个版本中,默认已经启用 TLS 1.3 ,所以不加 enable-tls1_3 参数也可以
  • OpenSSL 命令行工具和各类包、证书文件都保存在 /usr/local/openssl1.1.1 目录下。
  • 该版本对应的 TLS 1.3 版本是 draft 23。

安装完成后,可以使用命令行工具了解相关 TLS 1.3 信息。

比如运行下列命令,了解该版本对应的所有密码套件:

$ ./usr/local/openssl1.1.1/bin/openssl ciphers -V tls1_3 | column -t

0x13,0x02 - TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256)  Mac=AEAD
0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD
0x13,0x01 - TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128)  Mac=AEAD

可以看出 TLS 1.3 版本支持的密码套件进一步减少(增强了安全性)。

安装 Nginx

Nginx 支持 TLS 1.3 版本,指定 OpenSSL 库即可,运行命令如下:

$ cd /root 

$ wget http://nginx.org/download/nginx-1.13.5.tar.gz 
$ wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.41.tar.gz

$ tar xvf pcre-8.41.tar.gz 
$ tar xvf nginx-1.13.5.tar.gz 

$ cd nginx-1.13.5

$ ./configure \
 --prefix=/usr/local/nginx1.13.5.tls1.3 \
 --with-http_ssl_module \
 --with-pcre=../pcre-8.41 \
 --with-stream \
 --with-openssl=../openssl-1.1.1-pre1 \
 --with-openssl-opt="enable-tls1_3 enable-ec_nistp_64_gcc_128" --with-pcre

$ make 
$ make install

—with-openssl-opt 参数主要是为了配置 OpenSSL

Nginx 配置 TLS 1.3 版本

$ cd /usr/local/nginx1.13.5.tls1.3
$ vim conf/nginx.conf

nginx.conf 文件配置如下:

server {
 listen  443 ssl;
 server_name www.simplehttps.com;

 ssl_certificate  /etc/letsencrypt/live/simplehttps.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/simplehttps.com/privkey.pem;
 ssl_protocols  TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

 ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
 ssl_prefer_server_ciphers on;

 ssl_ciphers  TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-1
 28-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;

 location / {
  root html;
  index index.html index.htm;
 }
}

关于如何申请证书,可以参考我原来的文章。

配置 TLS 1.3 版本很简单,ssl_protocols 增加 TLSv1.3 即可。

运行如下命令启动 Nginx:

$ ./sbin/nginx

测试 TLS 1.3

使用三种方式测试网站是否支持 TLS 1.3 版本。

1)OpenSSL 命令行

运行下列命令:

$ /usr/local/openssl1.1.1/bin/openssl s_client -connect www.simplehttps.com:443 -tls1_3  

# 输出

New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
SSL-Session:
 Protocol : TLSv1.3
 Cipher : TLS_AES_256_GCM_SHA384

可见 TLSv1.3 已经成功支持。

2)Chrome

目前主流的浏览器都支持 TLS 1.3 版本,具体见下图:

Chrome 从 62 版本默认开启 TLS 1.3 的支持,如果是 62 以下的版本,可以进行下列的配置。

(1)工具栏上打开 chrome://flags/

(2)启用 TLS 1.3

需要注意的是,如果服务器端支持的 draft 版本和浏览器支持的 draft 版本不一致,那么 HTTPS 网站将不能访问。

(3)重新启动浏览器

然后打开浏览器,对 https://www.simplehttps.com 进行测试。


3)Firefox

Firefox 从 47  版本默认开启 TLS 1.3 的支持,如果是 47 以下的版本,可以进行下列的配置。

(1)工具栏上打开 about:config

(2)修改 security.tls.version.max 为 4

(3)重新启动浏览器

然后打开浏览器,对 https://www.simplehttps.com 进行测试。


总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

您可能感兴趣的文章:

相关文章

  • nginx配置proxy_pass后返回404问题以及Nginx host相关变量的说明

    nginx配置proxy_pass后返回404问题以及Nginx host相关变量的说明

    这篇文章主要介绍了nginx配置proxy_pass后返回404问题以及Nginx host相关变量的说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-01-01
  • Nginx配置https的实现

    Nginx配置https的实现

    本文主要介绍了Nginx配置https的实现,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2021-11-11
  • SpringBoot前端后端分离之Nginx服务器下载安装过程

    SpringBoot前端后端分离之Nginx服务器下载安装过程

    Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,这篇文章主要介绍了SpringBoot前端后端分离之Nginx服务器,需要的朋友可以参考下
    2022-08-08
  • 一篇文章读懂nginx的gzip功能

    一篇文章读懂nginx的gzip功能

    nginx提供了对文件内容压缩的功能,允许将内容在发送到客户端之前根据具体的策略进行压缩从而节约带宽,下面这篇文章主要给大家介绍了如何通过一篇文章读懂nginx的gzip功能,需要的朋友可以参考下
    2022-05-05
  • Nginx前端页面刷新后出现404的原因与解决方案

    Nginx前端页面刷新后出现404的原因与解决方案

    这篇文章主要来为大家详细介绍一下Nginx前端页面刷新后出现404 Not Found的原因与对应的解决方案,有需要的小伙伴可以根据情况参考一下
    2025-03-03
  • nginx配置虚拟主机vhost的方法详解

    nginx配置虚拟主机vhost的方法详解

    Nginx vhost配置,可实现基于ip、端口号、servername的虚拟主机,同时可避免直接修改主配置文件。在nginx下配置虚拟主机vhost非常方便。这篇文章主要介绍了nginx配置虚拟主机vhost的方法,需要的朋友可以参考下
    2017-03-03
  • nginx+rsync+inotify实现负载均衡配置方法

    nginx+rsync+inotify实现负载均衡配置方法

    这篇文章主要介绍了nginx+rsync+inotify实现负载均衡配置方法,需要的朋友可以参考下
    2014-11-11
  • Nginx访问控制与参数调优的方法

    Nginx访问控制与参数调优的方法

    这篇文章主要介绍了Nginx访问控制与参数调优的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2019-03-03
  • Nginx如何配置多个服务域名解析共用80端口详解

    Nginx如何配置多个服务域名解析共用80端口详解

    对于Web而已,80端口和443端口是十分重要的,下面这篇文章主要给大家介绍了关于Nginx如何配置多个服务域名解析共用80端口的相关资料,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
    2022-09-09
  • Nginx配置SSL证书的实现步骤

    Nginx配置SSL证书的实现步骤

    本文详细介绍了如何为Nginx服务器配置SSL证书,确保通过HTTPS安全访问,步骤包括DNS解析验证、下载和安装SSL证书、安装Nginx、配置nginx.conf文件以及设置HTTPS重定向,感兴趣的可以了解一下
    2024-09-09

最新评论