Sijil keselamatan dan pengoptimuman TLS dalam proksi terbalik Nginx

Nginx ialah pelayan HTTP berprestasi tinggi dan pelayan proksi terbalik yang boleh digunakan untuk memudahkan seni bina tapak web dan mengoptimumkan permintaan rangkaian. Semasa proses proksi terbalik, sijil keselamatan dan pengoptimuman TLS ialah faktor penting yang boleh meningkatkan keselamatan dan prestasi tapak web anda. Artikel ini akan memperkenalkan pengetahuan yang berkaitan tentang sijil keselamatan dan pengoptimuman TLS dalam proksi terbalik Nginx.

1. Sijil Keselamatan

1.1 Apakah itu sijil keselamatan?

Sijil keselamatan ialah sijil digital yang digunakan untuk pengesahan, penyulitan data dan perlindungan integriti data apabila mengakses tapak web. Sijil keselamatan biasa termasuk sijil SSL dan TLS, yang boleh memastikan keselamatan komunikasi rangkaian. Apabila pelanggan mengakses pelayan melalui protokol HTTPS, pelayan akan memaparkan sijil keselamatan secara automatik kepada pelanggan Jika sijil itu boleh dipercayai, saluran selamat akan diwujudkan untuk meneruskan komunikasi adalah berisiko dan menolak sambungan.

1.2 Jenis sijil keselamatan

Apabila menggunakan sijil keselamatan, anda perlu memilih jenis sijil yang sesuai untuk memenuhi keperluan perniagaan. Sijil keselamatan arus perdana semasa termasuk yang berikut:

Sijil yang ditandatangani sendiri: sijil keselamatan yang dikeluarkan oleh pihak berkuasa sijil yang dibuat oleh anda sendiri dan tidak perlu diperakui oleh agensi pengesahan pihak ketiga. Tetapi sijil yang ditandatangani sendiri mungkin menunjukkan bahawa tapak web pelanggan berisiko kerana ia tidak dipercayai oleh pihak ketiga.

Sijil DV: Sijil Pengesahan Domain, yang hanya mengesahkan pemilikan nama domain, melalui e-mel atau Sistem Nama Domain (DNS). Sijil DV boleh dikeluarkan dengan cepat dan sering digunakan untuk laman web peribadi atau perniagaan kecil.

Sijil OV: Sijil pengesahan organisasi, yang memerlukan pengesahan maklumat organisasi atau perusahaan tapak web dan pensijilan melalui telefon atau faks. Sijil OV lebih selamat dan boleh dipercayai daripada sijil DV dan biasanya digunakan oleh perusahaan kecil dan sederhana atau tapak web e-dagang.

Sijil EV: Sijil Pengesahan Dipertingkatkan, iaitu sijil keselamatan tahap tertinggi Ia perlu mengesahkan maklumat korporat tapak web dan mengesahkannya melalui e-mel dan telefon Pada masa yang sama, dokumen rasmi syarikat perlu dikemukakan untuk pengesahan. Proses pengesahan sijil EV agak ketat, yang boleh meningkatkan kredibiliti dan keselamatan tapak web.

1.3 Penggunaan sijil keselamatan

Apabila menggunakan pelayan proksi terbalik Nginx, menggunakan sijil keselamatan ialah langkah utama untuk memastikan keselamatan rangkaian. Antaranya, sijil keselamatan yang paling biasa digunakan ialah sijil SSL. Berikut ialah langkah untuk menggunakan sijil keselamatan:

Langkah 1: Pasang perisian berkaitan sijil pada pelayan, seperti openssl, libssl-dev, libssl-dev, dsb.

Langkah 2: Jana sijil, kunci peribadi dan permintaan menandatangani sijil (CSR) Permintaan menandatangani sijil perlu diserahkan kepada pihak berkuasa pengeluar sijil digital untuk pensijilan.

Langkah 3: Selepas pihak berkuasa yang mengeluarkan menandatangani dan mengesahkan CSR, ia mengembalikan sijil SSL, yang boleh disahkan menggunakan openssl.

Langkah 4: Tetapkan parameter berkaitan sijil keselamatan dalam fail konfigurasi Nginx, seperti ssl_certificate dan ssl_certificate_key Ambil perhatian bahawa laluan sijil mesti ditentukan.

Langkah 5: Muat semula pelayan Nginx dan semak sama ada sijil telah berkuat kuasa.

2. Pengoptimuman TLS

2.1 Apakah itu TLS?

TLS ialah protokol keselamatan lapisan pengangkutan dan versi SSL seterusnya, yang digunakan untuk menyulitkan dan mengesahkan komunikasi rangkaian dengan selamat. Protokol TLS boleh memastikan keselamatan utama, integriti data dan pengesahan komunikasi rangkaian, dan menghalang isu keselamatan rangkaian seperti serangan man-in-the-middle, mencuri dengar dan mengganggu. Protokol TLS ialah teras protokol HTTPS dan boleh meningkatkan keselamatan dan kestabilan komunikasi rangkaian.

2.2 penyelesaian pengoptimuman TLS

Dalam proksi songsang Nginx, kecekapan dan prestasi protokol HTTPS boleh dipertingkatkan melalui pengoptimuman protokol TLS. Berikut ialah penyelesaian pengoptimuman TLS yang biasa digunakan:

Dayakan sambungan SNI protokol TLS: Sambungan SNI ialah sambungan protokol TLS untuk menggunakan berbilang sijil SSL pada pelayan yang sama, yang boleh menyokong berbilang nama domain berkongsi alamat IP yang sama , meningkatkan kecekapan dan fleksibiliti pelayan.

Matikan versi protokol tidak selamat: Contohnya, SSL 2.0, SSL 3.0, TLS 1.0 dan versi protokol lain Protokol ini mempunyai isu keselamatan dan telah diklasifikasikan sebagai protokol tidak selamat apabila mematikannya boleh meningkatkan keselamatan dan prestasi.

Dayakan Penyambungan Semula Sesi protokol TLS: Penyambungan semula sesi ialah ciri pengoptimuman protokol TLS yang mempercepatkan komunikasi yang disulitkan dengan berkongsi kunci yang ditukar sebelum ini antara pelanggan dan pelayan.

Dayakan OCSP Stapling: OCSP Stapling ialah sambungan protokol TLS yang digunakan untuk mengesahkan status sijil SSL dengan cepat Ia boleh menghalang sijil SSL daripada dibatalkan atau dipalsukan, dan meningkatkan keselamatan dan kelajuan rangkaian.

Kerahsiaan Hadapan Sempurna (PFS) dengan protokol TLS didayakan: PFS ialah mekanisme perjanjian kunci yang selamat dan boleh dipercayai yang boleh menjana kunci unik dalam setiap sesi, meningkatkan kesukaran retak dan keselamatan.

2.3 Pelaksanaan pengoptimuman TLS

Dalam proksi terbalik Nginx, pengoptimuman TLS boleh dicapai dengan menambahkan parameter ssl_prefer_server_ciphers on dan ssl_ciphers dalam fail konfigurasi. Berikut ialah beberapa contoh konfigurasi yang biasa digunakan:

Dayakan sambungan SNI bagi protokol TLS:

pelayan {

listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

# Other configurations

}

Matikan versi protokol tidak selamat :

ssl_protocols TLSv1.2 TLSv1.3;

Dayakan Penyambungan Semula Sesi protokol TLS:

ssl_session_cache dikongsi:SSL:10m;
ssl_offsession

🎜

Dayakan OCSP Stapel:

ssl_stapling on; secp384r1;

Melalui konfigurasi di atas, protokol TLS boleh dioptimumkan dan prestasi serta keselamatan komunikasi rangkaian boleh dipertingkatkan. Apabila menggunakan proksi songsang Nginx, pastikan anda memberi perhatian kepada konfigurasi sijil keselamatan dan protokol TLS untuk meningkatkan keselamatan dan prestasi rangkaian pelayan proksi terbalik.

Atas ialah kandungan terperinci Sijil keselamatan dan pengoptimuman TLS dalam proksi terbalik Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!