Nginx の HTTPS パフォーマンスの最適化とセキュリティ設定

インターネットの急速な発展に伴い、データ送信における HTTPS プロトコルのセキュリティがますます注目されるようになりました。人気のある Web サーバーとして、Nginx は HTTPS プロトコルのサポートも提供します。 Nginx を HTTPS サーバーとして使用する場合は、パフォーマンスの最適化とセキュリティ設定に注意する必要があります。この記事では、Web サイトのセキュリティをより適切に保護し、Web サイトのパフォーマンスを向上させるために役立つ、Nginx の HTTPS パフォーマンスの最適化とセキュリティ設定のいくつかの方法を紹介します。

1. HTTPS パフォーマンスの最適化

1.1 HTTP/2 プロトコルを有効にする

HTTP/2 は、Web アプリケーションのパフォーマンスとパフォーマンスを向上させることができる新しい Web プロトコルです。 nginx で HTTP/2 プロトコルを有効にすると、HTTPS のパフォーマンスが大幅に向上します。 HTTP/2 を有効にするには、まず適切な nginx バージョンを使用していることを確認する必要があります。 nginx のバージョンは 1.9.5 以降、OpenSSL のバージョンは 1.0.2 以降である必要があります。使用されている nginx のバージョンが要件を満たしていることを確認したら、HTTPS サーバー ブロックに次の構成を追加できます。

listen 443 ssl http2;

1.2 SSL キャッシュの構成

SSL プロトコルは暗号化プロトコルであり、その暗号化と復号化のプロセスは比較的複雑です。 SSL のパフォーマンスを向上させるために、SSL キャッシュを構成して TLS ハンドシェイク インタラクションの数を減らすことができます。 HTTPS サーバー ブロックに次の構成を追加できます。

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;

上記の構成では、10MB の共有キャッシュが有効になり、セッション タイムアウトが 5 分に設定されます。

1.3 ssl_prefer_server_ciphers ディレクティブを使用する

ssl_prefer_server_ciphers は、SSL ハンドシェイク中に使用される暗号スイートを決定するために使用されます。このディレクティブを有効にすると、サーバーは設定された暗号スイートを優先するようになります。次の設定を追加して、サーバー側の暗号スイートの優先順位を有効にします:

ssl_prefer_server_ciphers On;

2. HTTPS セキュリティ設定

2.1 安全な SSL 設定

SSL プロトコルは暗号化です。ベースのセキュリティ プロトコルですが、適切に構成されていない場合はセキュリティの脆弱性が発生する可能性があります。安全な SSL 構成に関する推奨事項をいくつか示します。

• SSLv2 および SSLv3 プロトコルは安全ではないことが証明されているため、無効にします。
• TLSv1.0 および TLSv1.1 プロトコルの場合、RC4 暗号化と弱い暗号スイートを無効にする必要があります。
• AES 暗号スイートを使用してセキュリティを強化します。
• フルモードの TLS 暗号化を有効にすると、セキュリティが向上します。

2.2 安全な SSL 証明書

SSL 証明書は、Web アプリケーションの最も重要なセキュリティ コンポーネントの 1 つであり、クライアントとの通信を暗号化するために使用されます。以下に、安全な証明書構成の推奨事項をいくつか示します。

• CA 署名付き証明書を使用して、証明書の信頼性と信頼性を確保します。
• 証明書の有効期間を長くして (おそらく 2 ～ 3 年)、証明書の交換回数を減らします。
• 自己署名証明書の使用は、安全でない接続につながる可能性があるため禁止されています。

2.3 HTTP Strict Transport Security (HSTS) の構成

HSTS は、HTTP を使用した Web サイトへのアクセスが禁止されていることをクライアントに通知することで、HTTPS アクセスを保証するセキュリティ メカニズムです。次の構成を HTTPS Server ブロックに追加して、クライアント ブラウザーで HSTS を有効にします。

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

2.4 OCSP Stapling の有効化

OCSP Stapling は、クライアントが OCSP 要求を CA サーバーに送信する必要をなくす安全な TLS ハンドシェイク プロトコルです。次の構成を追加して、OCSP Stapling を有効にします。

ssl_stapling on;
ssl_stapling_verify on;
resolver <DNS SERVER>;

上記の設定により、OCSP Stapling が有効になり、OCSP Stapling の検証が有効になります。 OCSP Stapling を使用するには、DNS サーバーのアドレスを指定し、DNS サーバーが OCSP をサポートしていることを確認する必要があります。

結論

Nginx は、HTTPS プロトコルと複数のセキュリティ最適化設定をサポートする人気のある Web サーバーです。この記事では、Nginx の HTTPS パフォーマンスとセキュリティ設定に関する推奨事項をいくつか紹介します。これらの設定を使用すると、サイトのセキュリティを強化し、サイトのパフォーマンスを向上させることができます。この記事がお役に立てば幸いです。

以上がNginx の HTTPS パフォーマンスの最適化とセキュリティ設定の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。