Amalan terbaik untuk konfigurasi keselamatan SSL/TLS Nginx-Nginx-php.cn

Rumah

Operasi dan penyelenggaraan

Nginx

Amalan terbaik untuk konfigurasi keselamatan SSL/TLS Nginx

王林

Jun 10, 2023 am 11:36 AM

nginxKonfigurasi keselamatanssl/tls

Nginx ialah pelayan HTTP yang digunakan secara meluas dan pelayan proksi terbalik yang memastikan keselamatan komunikasi rangkaian melalui protokol SSL/TLS. Dalam artikel ini, kami akan meneroka amalan terbaik untuk konfigurasi keselamatan SSL/TLS Nginx untuk membantu anda memastikan keselamatan pelayan anda dengan lebih baik.

1. Gunakan versi terkini Nginx dan OpenSSL

Versi terkini Nginx dan OpenSSL mengandungi pembetulan dan kemas kini keselamatan terkini. Oleh itu, memastikan penggunaan versi terkini Nginx dan OpenSSL adalah cara asas untuk memastikan keselamatan pelayan.

2. Hasilkan kunci peribadi dan sijil dengan kata laluan yang kukuh

Apabila menjana sijil SSL dan kunci peribadi, kami mesti memastikan kata laluan yang kukuh digunakan. Kata laluan yang kuat boleh meningkatkan keselamatan kunci peribadi dan sijil, dan juga boleh menghalang serangan penggodam. Sebagai contoh, kita boleh menggunakan alat openssl untuk menjana kunci peribadi RSA 2048-bit:

openssl genrsa -out key.pem 2048

Begitu juga, kata laluan juga diperlukan semasa menjana sijil permintaan:

openssl req -new -key key.pem -out csr.pem

3 Dilarang menggunakan algoritma penyulitan yang lemah

Protokol SSL/TLS menyokong. berbilang algoritma penyulitan termasuk DES, RC4, dsb. Walau bagaimanapun, beberapa algoritma penyulitan telah terbukti cacat dan juga rosak. Oleh itu, untuk memastikan keselamatan pelayan, kita harus melarang penggunaan algoritma penyulitan yang sudah tidak selamat ini. Kami boleh menggunakan konfigurasi berikut untuk melumpuhkan penggunaan algoritma penyulitan yang lemah:

ssl_ciphers HIGH:!aNULL:!MD5;

4. Dayakan Strict-Transport-Security (STS)

Dayakan perlindungan STS daripada serangan lelaki di tengah dan percubaan untuk menyahsulit trafik. STS memberitahu penyemak imbas untuk hanya mengakses tapak web melalui sambungan HTTPS, dan penyemak imbas akan mengubah hala secara automatik ke HTTPS sebaik sahaja ia mendapati tapak web itu diakses melalui sambungan HTTP. STS boleh didayakan melalui konfigurasi berikut:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

5 Dayakan penyematan kunci awam HTTP

Walaupun protokol SSL/TLS telah menjadi lebih selamat, serangan penetapan kunci awam masih wujud. Prinsip serangan penyematan kunci awam ialah penggodam boleh mendapatkan kunci awam tapak web dan mengubah suainya, menyebabkan penyemak imbas tersalah anggap bahawa sambungan itu selamat. Serangan ini boleh dilindungi daripada dengan mendayakan penyematan kunci awam HTTP. Kami boleh mendayakan penyematan kunci awam HTTP menggunakan konfigurasi berikut:

add_header Public-Key-Pins 'pin-sha256="base64+primary=="; -age=5184000; includeSubDomains';

6 Dayakan OCSP Stapling

OCSP Stapling ialah ciri keselamatan yang menyimpan cache respons OCSP untuk mengurangkan tekanan pada pelayan dan memendekkan masa yang diperlukan untuk OCSP. masa tindak balas pelayan meningkatkan kelajuan dan keselamatan tindak balas pelayan. Kami boleh mendayakan OCSP Stapling menggunakan konfigurasi berikut:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/ocsp.crt;
resolver 8.8._8.8>; 10s ;

7. Penggunaan protokol SSL v3.0 adalah dilarang

Protokol SSL v3.0 mempunyai banyak kelemahan keselamatan dan telah terbukti tidak selamat. Oleh itu, untuk memastikan keselamatan pelayan, kita harus melarang penggunaan protokol SSL v3.0. Kami boleh menggunakan konfigurasi berikut untuk melarang penggunaan protokol SSL v3.0:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Ringkasan

SSL/TLS protokol adalah untuk memastikan keselamatan komunikasi rangkaian Asas konfigurasi keselamatan SSL/TLS Nginx adalah sangat penting. Melalui konfigurasi yang munasabah, kami boleh meningkatkan keselamatan pelayan dan mencegah serangan penggodam. Artikel ini memperkenalkan amalan terbaik untuk konfigurasi keselamatan SSL/TLS Nginx dan berharap dapat membantu pembaca.

Atas ialah kandungan terperinci Amalan terbaik untuk konfigurasi keselamatan SSL/TLS Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

The Ultimate Showdown: Nginx vs ApacheApr 18, 2025 am 12:02 AM

Nginx sesuai untuk mengendalikan permintaan serentak yang tinggi, manakala Apache sesuai untuk senario di mana konfigurasi kompleks dan sambungan berfungsi diperlukan. 1.Nginx mengamalkan seni bina yang didorong oleh peristiwa, tidak menyekat, dan sesuai untuk persekitaran yang tinggi. 2. Apache mengamalkan model atau model benang untuk menyediakan ekosistem modul yang kaya yang sesuai untuk keperluan konfigurasi kompleks.

Nginx dalam tindakan: contoh dan aplikasi dunia nyataApr 17, 2025 am 12:18 AM

Nginx boleh digunakan untuk meningkatkan prestasi laman web, keselamatan, dan skalabiliti. 1) Sebagai proksi terbalik dan pengimbang beban, Nginx dapat mengoptimumkan perkhidmatan back-end dan berkongsi lalu lintas. 2) Melalui seni bina yang didorong oleh peristiwa dan tak segerak, Nginx dengan cekap mengendalikan sambungan serentak yang tinggi. 3) Fail konfigurasi membenarkan definisi peraturan yang fleksibel, seperti perkhidmatan fail statik dan mengimbangi beban. 4) Cadangan pengoptimuman termasuk membolehkan pemampatan GZIP, menggunakan cache dan menala proses pekerja.

Unit Nginx: Menyokong bahasa pengaturcaraan yang berbezaApr 16, 2025 am 12:15 AM

NginxUnit menyokong pelbagai bahasa pengaturcaraan dan dilaksanakan melalui reka bentuk modular. 1. Memuatkan Modul Bahasa: Muatkan modul yang sepadan mengikut fail konfigurasi. 2. Permulaan Permohonan: Jalankan kod aplikasi apabila bahasa panggilan berjalan. 3. Permintaan Pemprosesan: Teruskan permintaan kepada contoh permohonan. 4. Pulangan Respons: Kembalikan respons yang diproses kepada pelanggan.

Memilih antara nginx dan apache: sesuai untuk keperluan andaApr 15, 2025 am 12:04 AM

Nginx dan Apache mempunyai kelebihan dan kekurangan mereka sendiri dan sesuai untuk senario yang berbeza. 1.Nginx sesuai untuk senario penggunaan sumber yang tinggi dan rendah. 2. Apache sesuai untuk senario di mana konfigurasi kompleks dan modul yang kaya diperlukan. Dengan membandingkan ciri teras mereka, perbezaan prestasi, dan amalan terbaik, anda boleh membantu anda memilih perisian pelayan yang paling sesuai dengan keperluan anda.

Cara Memulakan NginxApr 14, 2025 pm 01:06 PM

Soalan: Bagaimana untuk memulakan nginx? Jawapan: Pasang Nginx Startup Nginx Verification Nginx adalah nginx mula meneroka pilihan permulaan lain secara automatik Mula nginx

Cara memeriksa sama ada nginx dimulakanApr 14, 2025 pm 01:03 PM

Bagaimana untuk mengesahkan sama ada nginx dimulakan: 1. Gunakan baris arahan: status sistem sistem nginx (linux/unix), netstat -ano | Findstr 80 (Windows); 2. Periksa sama ada port 80 dibuka; 3. Semak mesej permulaan Nginx dalam log sistem; 4. Gunakan alat pihak ketiga, seperti Nagios, Zabbix, dan Icinga.

Cara menutup nginxApr 14, 2025 pm 01:00 PM

Untuk menutup perkhidmatan nginx, ikuti langkah -langkah berikut: Tentukan jenis pemasangan: Red Hat/CentOS (status SistemCTL nginx) atau debian/ubuntu (status nginx) menghentikan perkhidmatan: Red Hat/CentOS (SystemCtl Stop Nginx) atau Debian/Ubuntu (perkhidmatan Nginx) (Syst

Cara Mengkonfigurasi Nginx di WindowsApr 14, 2025 pm 12:57 PM

Bagaimana cara mengkonfigurasi nginx di Windows? Pasang Nginx dan buat konfigurasi hos maya. Ubah suai fail konfigurasi utama dan sertakan konfigurasi hos maya. Mulakan atau Muat semula Nginx. Uji konfigurasi dan lihat laman web. Selektif membolehkan SSL dan mengkonfigurasi sijil SSL. Selektif tetapkan firewall untuk membolehkan trafik port 80 dan 443.

See all articles