Pengoptimuman prestasi HTTPS dan tetapan keselamatan dalam Nginx

Dengan perkembangan pesat Internet, keselamatan protokol HTTPS dalam penghantaran data semakin mendapat perhatian. Sebagai pelayan web yang popular, Nginx juga menyediakan sokongan untuk protokol HTTPS. Apabila menggunakan Nginx sebagai pelayan HTTPS, kita perlu memberi perhatian kepada beberapa tetapan pengoptimuman prestasi dan keselamatan. Artikel ini akan memperkenalkan beberapa kaedah pengoptimuman prestasi HTTPS dan tetapan keselamatan dalam Nginx untuk membantu anda melindungi keselamatan tapak web dengan lebih baik dan meningkatkan prestasi tapak web.

1. Pengoptimuman prestasi HTTPS

1.1 Dayakan protokol HTTP/2

HTTP/2 ialah protokol web yang lebih baharu yang boleh meningkatkan prestasi dan prestasi aplikasi web. Mendayakan protokol HTTP/2 dalam nginx boleh meningkatkan prestasi HTTPS dengan ketara. Untuk mendayakan HTTP/2, anda perlu terlebih dahulu mengesahkan bahawa anda menggunakan versi nginx yang sesuai. Versi nginx hendaklah 1.9.5 atau lebih tinggi dan versi OpenSSL hendaklah 1.0.2 atau lebih tinggi. Selepas mengesahkan bahawa versi nginx yang digunakan memenuhi keperluan, anda boleh menambah konfigurasi berikut dalam blok Pelayan HTTPS.

listen 443 ssl http2;

1.2 Konfigurasikan cache SSL

Protokol SSL ialah protokol penyulitan, dan proses penyulitan serta penyahsulitannya agak rumit. Untuk meningkatkan prestasi SSL, anda boleh mengkonfigurasi cache SSL untuk mengurangkan bilangan interaksi jabat tangan TLS. Anda boleh menambah konfigurasi berikut dalam blok Pelayan HTTPS.

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;

Konfigurasi di atas akan mendayakan cache kongsi 10MB dan menetapkan tamat masa sesi kepada 5 minit.

1.3 Menggunakan arahan ssl_prefer_server_ciphers

ssl_prefer_server_ciphers digunakan untuk menentukan suite sifir yang digunakan semasa jabat tangan ssl. Mendayakan arahan ini memastikan pelayan memilih suite sifir yang dikonfigurasikan. Tambahkan konfigurasi berikut untuk mendayakan keutamaan suite sifir sisi pelayan:

ssl_prefer_server_ciphers On;

2. Tetapan keselamatan HTTPS

2.1 Konfigurasi SSL selamat

Protokol SSL adalah berasaskan penyulitan protokol keselamatan, tetapi kelemahan keselamatan masih boleh berlaku jika tidak dikonfigurasikan dengan betul. Berikut ialah beberapa cadangan untuk konfigurasi SSL selamat:

• Lumpuhkan protokol SSLv2 dan SSLv3 kerana ia telah terbukti tidak selamat.
• Untuk protokol TLSv1.0 dan TLSv1.1, penyulitan RC4 dan suite sifir lemah harus dilumpuhkan.
• Gunakan suite sifir AES untuk meningkatkan keselamatan.
• Dayakan penyulitan TLS mod penuh untuk meningkatkan keselamatan.

2.2 Sijil SSL Selamat

Sijil SSL ialah salah satu komponen keselamatan yang paling penting dalam aplikasi web Ia digunakan untuk menyulitkan komunikasi dengan pelanggan. Berikut ialah beberapa cadangan konfigurasi sijil selamat:

• Gunakan sijil yang ditandatangani CA untuk memastikan ketulenan dan kebolehpercayaan sijil.
• Gunakan tempoh sah sijil yang lebih lama, mungkin 2-3 tahun, untuk mengurangkan bilangan penggantian sijil.
• Penggunaan sijil yang ditandatangani sendiri adalah dilarang kerana ini boleh menyebabkan sambungan tidak selamat.

2.3 Mengkonfigurasi HTTP Strict Transport Security (HSTS)

HSTS ialah mekanisme keselamatan yang memastikan akses HTTPS dengan memberitahu pelanggan bahawa akses kepada tapak web menggunakan HTTP adalah dilarang. Tambahkan konfigurasi berikut pada blok Pelayan HTTPS untuk mendayakan HSTS dalam pelayar klien.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

2.4 Dayakan OCSP Stapling

OCSP Stapling ialah protokol jabat tangan TLS selamat yang menghapuskan keperluan untuk pelanggan menghantar permintaan OCSP ke pelayan CA. Tambahkan konfigurasi berikut untuk mendayakan OCSP Stapling.

ssl_stapling on;
ssl_stapling_verify on;
resolver <DNS SERVER>;

Konfigurasi di atas akan mendayakan OCSP Stapling dan mendayakan pengesahan OCSP Stapling. Untuk menggunakan OCSP Stapling, anda perlu memberikan alamat pelayan DNS dan memastikan pelayan DNS anda menyokong OCSP.

Kesimpulan

Nginx ialah pelayan web popular yang menyokong protokol HTTPS dan pelbagai tetapan pengoptimuman keselamatan. Artikel ini membentangkan beberapa cadangan untuk tetapan prestasi dan keselamatan HTTPS dalam Nginx. Dengan tetapan ini, anda akan dapat melindungi tapak anda dengan lebih baik dan meningkatkan prestasi tapak anda. Semoga artikel ini dapat membantu anda.

Atas ialah kandungan terperinci Pengoptimuman prestasi HTTPS dan tetapan keselamatan dalam Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!