Maison  >  Article  >  Opération et maintenance  >  Certificat de sécurité et optimisation TLS dans le proxy inverse Nginx

Certificat de sécurité et optimisation TLS dans le proxy inverse Nginx

WBOY
WBOYoriginal
2023-06-09 21:13:362031parcourir

Nginx est un serveur HTTP et un serveur proxy inverse hautes performances qui peuvent être utilisés pour simplifier l'architecture du site Web et optimiser les requêtes réseau. Au cours du processus de proxy inverse, les certificats de sécurité et l'optimisation TLS sont des facteurs importants qui peuvent améliorer la sécurité et les performances de votre site Web. Cet article présentera des connaissances pertinentes sur les certificats de sécurité et l'optimisation TLS dans le proxy inverse Nginx.

1. Certificat de sécurité

1.1 Qu'est-ce qu'un certificat de sécurité ?

Les certificats de sécurité sont des certificats numériques utilisés pour l'authentification, le cryptage des données et la protection de l'intégrité des données lors de l'accès à des sites Web. Les certificats de sécurité courants incluent les certificats SSL et TLS, qui peuvent garantir la sécurité des communications réseau. Lorsque le client accède au serveur via le protocole HTTPS, le serveur affichera automatiquement le certificat de sécurité au client. Si le certificat est digne de confiance, un canal sécurisé sera établi pour poursuivre la communication. Sinon, le client demandera à l'utilisateur d'accéder au site Web. est risqué et refuse la connexion.

1.2 Types de certificats de sécurité

Lors du déploiement de certificats de sécurité, vous devez choisir le type de certificat approprié pour répondre aux besoins de l'entreprise. Les certificats de sécurité courants actuels sont les suivants :

Certificat auto-signé : un certificat de sécurité délivré par une autorité de certification créée par vous-même et qui n'a pas besoin d'être certifié par une agence de vérification tierce. Mais un certificat auto-signé peut indiquer que le site Web du client est en danger car un tiers ne lui fait pas confiance.

Certificat DV : Certificat de vérification de domaine, qui vérifie simplement la propriété d'un nom de domaine, par e-mail ou par système de noms de domaine (DNS). Les certificats DV peuvent être délivrés rapidement et sont souvent utilisés pour les sites Web personnels ou les petites entreprises.

OV Certificat : Certificat de Vérification d'Organisation, qui nécessite une vérification de l'organisation ou des informations commerciales du site Internet et une certification par téléphone ou fax. Les certificats OV sont plus sûrs et fiables que les certificats DV et sont généralement utilisés par les petites et moyennes entreprises ou les sites de commerce électronique.

Certificat EV : Certificat de vérification amélioré, qui est le plus haut niveau de certificat de sécurité. Il doit vérifier les informations d'entreprise du site Web et les vérifier par e-mail et par téléphone en même temps, les documents officiels de l'entreprise. doivent être soumis pour vérification. Le processus de vérification des certificats EV est relativement strict, ce qui peut améliorer la crédibilité et la sécurité du site Web.

1.3 Déploiement du certificat de sécurité

Lors de l'utilisation du serveur proxy inverse Nginx, le déploiement d'un certificat de sécurité est une étape clé pour assurer la sécurité du réseau. Parmi eux, le certificat de sécurité le plus couramment utilisé est le certificat SSL. Voici les étapes pour déployer un certificat de sécurité :

Étape 1 : Installez le logiciel lié au certificat sur le serveur, tel que openssl, libssl-dev, libssl-dev, etc.

Étape 2 : Générer un certificat, une clé privée et une demande de signature de certificat (CSR). La demande de signature de certificat doit être soumise à l'autorité émettrice de certificat numérique pour certification.

Étape 3 : Une fois que l'autorité émettrice a signé et confirmé le CSR, elle renvoie le certificat SSL, qui peut être vérifié à l'aide d'openssl.

Étape 4 : Définissez les paramètres liés au certificat de sécurité dans le fichier de configuration Nginx, tels que ssl_certificate et ssl_certificate_key. Notez que le chemin du certificat doit être spécifié.

Étape 5 : Rechargez le serveur Nginx et vérifiez si le certificat a pris effet.

2. Optimisation TLS

2.1 Qu'est-ce que TLS ?

TLS est le Transport Layer Security Protocol, une version ultérieure de SSL, qui est utilisée pour crypter et authentifier en toute sécurité les communications réseau. Le protocole TLS peut garantir la sécurité des clés, l'intégrité des données et l'authentification des communications réseau, et prévenir les problèmes de sécurité réseau tels que les attaques de l'homme du milieu, les écoutes clandestines et la falsification. Le protocole TLS est au cœur du protocole HTTPS et peut améliorer la sécurité et la stabilité des communications réseau.

2.2 Solution d'optimisation TLS

Dans le proxy inverse Nginx, l'efficacité et les performances du protocole HTTPS peuvent être améliorées grâce à l'optimisation du protocole TLS. Les solutions d'optimisation TLS suivantes sont couramment utilisées :

Activer l'extension SNI du protocole TLS : l'extension SNI est une extension du protocole TLS permettant d'utiliser plusieurs certificats SSL sur le même serveur et peut prendre en charge le partage de plusieurs noms de domaine. La même adresse IP L'adresse améliore l'efficacité et la flexibilité du serveur.

 Désactivez les versions de protocoles non sécurisées : telles que SSL 2.0, SSL 3.0, TLS 1.0 et d'autres versions de protocoles. Ces protocoles présentent des problèmes de sécurité et ont été classés comme protocoles non sécurisés. Leur désactivation peut améliorer la sécurité et les performances. .

Activer la reprise de session du protocole TLS : La reprise de session est une fonctionnalité d'optimisation du protocole TLS qui accélère les communications cryptées en partageant les clés précédemment échangées entre le client et le serveur.

Activer l'agrafage OCSP : OCSP Stapling est une extension du protocole TLS utilisée pour vérifier rapidement l'état des certificats SSL. Elle peut empêcher la révocation ou la falsification des certificats SSL et améliorer la sécurité et la vitesse du réseau.

Activer le Perfect Forward Secrecy (PFS) du protocole TLS : PFS est un mécanisme d'accord de clé sécurisé et fiable qui peut générer une clé unique à chaque session, augmentant ainsi la difficulté et la sécurité du piratage sexuel.

2.3 Implémentation de l'optimisation TLS

Dans le proxy inverse Nginx, l'optimisation TLS peut être réalisée en ajoutant les paramètres ssl_prefer_server_ciphers on et ssl_ciphers dans le fichier de configuration. Voici quelques exemples de configuration couramment utilisés :

Activer l'extension SNI du protocole TLS :

server {

listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

# Other configurations

}

# 🎜🎜 #Désactiver les versions de protocole non sécurisées :

ssl_protocols TLSv1.2 TLSv1.3;

Activer la reprise de session du protocole TLS :

ssl_session_cache partagé : SSL : 10 min ;

ssl_session_tickets désactivé ;

Activer l'agrafage OCSP :

ssl_stapling activé ;

ssl_stapling_verify activé ;
ssl_ faites confiance à ed_certificate/ chemin/vers /trusted.crt;

Activer PFS :

ssl_ecdh_curve secp384r1;

Grâce à la configuration ci-dessus, le protocole TLS peut être optimisé et les performances et la sécurité de la communication réseau peuvent être améliorées. Lors du déploiement du proxy inverse Nginx, veillez à prêter attention à la configuration du certificat de sécurité et du protocole TLS pour améliorer la sécurité et les performances réseau du serveur proxy inverse.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn