Dengan perkembangan pesat Internet, keselamatan protokol HTTPS dalam penghantaran data semakin mendapat perhatian. Sebagai pelayan web yang popular, Nginx juga menyediakan sokongan untuk protokol HTTPS. Apabila menggunakan Nginx sebagai pelayan HTTPS, kita perlu memberi perhatian kepada beberapa tetapan pengoptimuman prestasi dan keselamatan. Artikel ini akan memperkenalkan beberapa kaedah pengoptimuman prestasi HTTPS dan tetapan keselamatan dalam Nginx untuk membantu anda melindungi keselamatan tapak web dengan lebih baik dan meningkatkan prestasi tapak web.
1. Pengoptimuman prestasi HTTPS
1.1 Dayakan protokol HTTP/2
HTTP/2 ialah protokol web yang lebih baharu yang boleh meningkatkan prestasi dan prestasi aplikasi web. Mendayakan protokol HTTP/2 dalam nginx boleh meningkatkan prestasi HTTPS dengan ketara. Untuk mendayakan HTTP/2, anda perlu terlebih dahulu mengesahkan bahawa anda menggunakan versi nginx yang sesuai. Versi nginx hendaklah 1.9.5 atau lebih tinggi dan versi OpenSSL hendaklah 1.0.2 atau lebih tinggi. Selepas mengesahkan bahawa versi nginx yang digunakan memenuhi keperluan, anda boleh menambah konfigurasi berikut dalam blok Pelayan HTTPS.
listen 443 ssl http2;
1.2 Konfigurasikan cache SSL
Protokol SSL ialah protokol penyulitan, dan proses penyulitan serta penyahsulitannya agak rumit. Untuk meningkatkan prestasi SSL, anda boleh mengkonfigurasi cache SSL untuk mengurangkan bilangan interaksi jabat tangan TLS. Anda boleh menambah konfigurasi berikut dalam blok Pelayan HTTPS.
ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m;
Konfigurasi di atas akan mendayakan cache kongsi 10MB dan menetapkan tamat masa sesi kepada 5 minit.
1.3 Menggunakan arahan ssl_prefer_server_ciphers
ssl_prefer_server_ciphers digunakan untuk menentukan suite sifir yang digunakan semasa jabat tangan ssl. Mendayakan arahan ini memastikan pelayan memilih suite sifir yang dikonfigurasikan. Tambahkan konfigurasi berikut untuk mendayakan keutamaan suite sifir sisi pelayan:
ssl_prefer_server_ciphers On;
2. Tetapan keselamatan HTTPS
2.1 Konfigurasi SSL selamat
Protokol SSL adalah berasaskan penyulitan protokol keselamatan, tetapi kelemahan keselamatan masih boleh berlaku jika tidak dikonfigurasikan dengan betul. Berikut ialah beberapa cadangan untuk konfigurasi SSL selamat:
2.2 Sijil SSL Selamat
Sijil SSL ialah salah satu komponen keselamatan yang paling penting dalam aplikasi web Ia digunakan untuk menyulitkan komunikasi dengan pelanggan. Berikut ialah beberapa cadangan konfigurasi sijil selamat:
2.3 Mengkonfigurasi HTTP Strict Transport Security (HSTS)
HSTS ialah mekanisme keselamatan yang memastikan akses HTTPS dengan memberitahu pelanggan bahawa akses kepada tapak web menggunakan HTTP adalah dilarang. Tambahkan konfigurasi berikut pada blok Pelayan HTTPS untuk mendayakan HSTS dalam pelayar klien.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
2.4 Dayakan OCSP Stapling
OCSP Stapling ialah protokol jabat tangan TLS selamat yang menghapuskan keperluan untuk pelanggan menghantar permintaan OCSP ke pelayan CA. Tambahkan konfigurasi berikut untuk mendayakan OCSP Stapling.
ssl_stapling on; ssl_stapling_verify on; resolver <DNS SERVER>;
Konfigurasi di atas akan mendayakan OCSP Stapling dan mendayakan pengesahan OCSP Stapling. Untuk menggunakan OCSP Stapling, anda perlu memberikan alamat pelayan DNS dan memastikan pelayan DNS anda menyokong OCSP.
Kesimpulan
Nginx ialah pelayan web popular yang menyokong protokol HTTPS dan pelbagai tetapan pengoptimuman keselamatan. Artikel ini membentangkan beberapa cadangan untuk tetapan prestasi dan keselamatan HTTPS dalam Nginx. Dengan tetapan ini, anda akan dapat melindungi tapak anda dengan lebih baik dan meningkatkan prestasi tapak anda. Semoga artikel ini dapat membantu anda.
Atas ialah kandungan terperinci Pengoptimuman prestasi HTTPS dan tetapan keselamatan dalam Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!