Optimisation des performances HTTPS et paramètres de sécurité dans Nginx

Avec le développement rapide d'Internet, la sécurité du protocole HTTPS dans la transmission de données fait l'objet de plus en plus d'attention. En tant que serveur Web populaire, Nginx prend également en charge le protocole HTTPS. Lorsque nous utilisons Nginx comme serveur HTTPS, nous devons prêter attention à certains paramètres d'optimisation des performances et de sécurité. Cet article présentera certaines méthodes d'optimisation des performances HTTPS et de paramètres de sécurité dans Nginx pour vous aider à mieux protéger la sécurité du site Web et à améliorer les performances du site Web.

1. Optimisation des performances HTTPS

1.1 Activer le protocole HTTP/2

HTTP/2 est un protocole Web plus récent qui peut améliorer les performances et la sécurité des applications Web. L'activation du protocole HTTP/2 dans nginx peut améliorer considérablement les performances de HTTPS. Pour activer HTTP/2, vous devez d'abord confirmer que vous utilisez la version nginx appropriée. Il est nécessaire que la version de nginx soit 1.9.5 ou supérieure et que la version OpenSSL soit 1.0.2 ou supérieure. Après avoir confirmé que la version de nginx utilisée répond aux exigences, vous pouvez ajouter la configuration suivante dans le bloc HTTPS Server.

listen 443 ssl http2;

1.2 Configurer le cache SSL

Le protocole SSL est un protocole de cryptage, et son processus de cryptage et de déchiffrement est relativement compliqué. Pour améliorer les performances SSL, vous pouvez configurer la mise en cache SSL afin de réduire le nombre d'interactions de négociation TLS. Vous pouvez ajouter la configuration suivante dans le bloc HTTPS Server.

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;

La configuration ci-dessus activera un cache partagé de 10 Mo et définira le délai d'expiration de la session à 5 minutes.

1.3 Utilisation de la directive ssl_prefer_server_ciphers

ssl_prefer_server_ciphers est utilisé pour déterminer la suite de chiffrement utilisée lors de la poignée de main SSL. L'activation de cette directive garantit que le serveur préfère les suites de chiffrement configurées. Ajoutez la configuration suivante pour activer la priorité des suites de chiffrement côté serveur :

ssl_prefer_server_ciphers On;

2. Paramètres de sécurité HTTPS

2.1 Configuration SSL sécurisée

Le protocole SSL est un protocole de sécurité basé sur le cryptage, mais s'il n'est pas configuré correctement, il peut toujours se produire des failles de sécurité. Voici quelques recommandations de configuration SSL sécurisée :

• Désactivez les protocoles SSLv2 et SSLv3 car il s'est avéré qu'ils ne sont pas sécurisés.
• Pour les protocoles TLSv1.0 et TLSv1.1, le cryptage RC4 et les suites de chiffrement faibles doivent être désactivés.
• Utilisez la suite de cryptage AES pour une sécurité accrue.
• Activez le cryptage TLS en mode complet pour améliorer la sécurité.

2.2 Certificat SSL sécurisé

Le certificat SSL est l'un des composants de sécurité les plus importants dans les applications Web. Il est utilisé pour crypter la communication avec les clients. Voici quelques suggestions de configuration de certificat sécurisé :

• Utilisez un certificat signé par une autorité de certification pour garantir l'authenticité et la fiabilité du certificat.
• Utilisez une période de validité de certificat plus longue, éventuellement de 2 à 3 ans, pour réduire le nombre de remplacements de certificats.
• L'utilisation de certificats auto-signés est interdite car cela peut conduire à des connexions non sécurisées.

2.3 Configurer HTTP Strict Transport Security (HSTS)

HSTS est un mécanisme de sécurité qui garantit l'accès HTTPS en informant le client que l'accès au site Web via HTTP est interdit. Ajoutez la configuration suivante au bloc HTTPS Server pour activer HSTS dans les navigateurs clients.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

2.4 Activer l'agrafage OCSP

OCSP Stapling est un protocole de prise de contact TLS sécurisé qui élimine le besoin pour le client d'envoyer une requête OCSP au serveur de l'autorité de certification. Ajoutez la configuration suivante pour activer l'agrafage OCSP.

ssl_stapling on;
ssl_stapling_verify on;
resolver <DNS SERVER>;

La configuration ci-dessus activera l'agrafage OCSP et la vérification de l'agrafage OCSP. Pour utiliser OCSP Stapling, vous devez fournir l'adresse du serveur DNS et vous assurer que votre serveur DNS prend en charge OCSP.

Conclusion

Nginx est un serveur Web populaire qui prend en charge le protocole HTTPS et plusieurs paramètres d'optimisation de sécurité. Cet article présente quelques recommandations pour les performances HTTPS et les paramètres de sécurité dans Nginx. Avec ces paramètres, vous pourrez mieux sécuriser votre site et améliorer les performances de votre site. J'espère que cet article vous sera utile.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!