GNU/Linux >> Znalost Linux >  >> Linux

Jak povolit TLS 1.3 v Nginx

Transport Layer Security (TLS) 1.3 je nejnovější verze protokolu Transport Layer Security (TLS), publikovaná jako standard IETF v RFC 8446 v srpnu 2018. Protokol TLS 1.3 poskytuje vylepšení ochrany soukromí a výkonu ve srovnání s předchozími verzemi TLS. -zabezpečený HTTP.

Od verze 1.13.0 byla do Nginx přidána podpora pro TLS 1.3. V současné době většina distribucí Linuxu neobsahuje požadované verze Nginx a OpenSSL ve svých výchozích softwarových úložištích, takže pravděpodobně budete muset Nginx zkompilovat sami proti OpenSSL 1.1.1+. Jediné distribuce Linuxu, které mají nativní podporu pro TLS 1.3, jsou Ubuntu 18.10, Fedora 29 a Debian 10 (k dnešnímu dni ještě nevydané). Pokud potřebujete návod, jak zkompilovat Nginx ze zdroje, můžete se řídit tímto návodem Howtoforge. V tomto tutoriálu budu předpokládat, že již máte funkční konfiguraci TLS a zkompilovali jste Nginx proti OpenSSL 1.1.1+ podle mého propojeného kurzu a víte, jak používat Let's Encrypt, nebo víte, jak zadat certifikát s vlastním podpisem.

Požadavky

Chcete-li povolit TLS 1.3 v Nginx, budete muset splnit následující požadavky:

  • Verze Nginx 1.13.0 nebo vyšší vytvořené proti OpenSSL 1.1.1 nebo vyšší.
  • Platný certifikát TLS nebo certifikát s vlastním podpisem. Můžete získat zdarma jeden od Let's Encrypt.

Povolení TLS 1.3 v Nginx

Chcete-li povolit TLS 1.3 v Nginx, stačí přidat TLSv1.3 parametr do ssl_protocols směrnice.

ssl_protocols TLSv1.2 TLSv1.3;

A znovu načtěte konfiguraci Nginx:

sudo systemctl reload nginx.service

To je vše, co je třeba udělat, pokud jde o konfiguraci Nginx. Stačí jedna jednoduchá změna a TLS 1.3 by mělo fungovat.

Zde je minimální konfigurace virtuálního serveru pro TLS 1.3, která může vypadat nějak takto:

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;
  root /var/www/example.com/public;

  ssl_certificate /path/to/your/certificate.crt;
  ssl_certificate_key /path/to/your/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;

}

Chcete-li zkontrolovat, zda váš server podporuje TLS 1.3, můžete použít vývojářské nástroje prohlížeče nebo test serveru SSLLabs. Níže jsou snímky obrazovky z prohlížeče Google Chrome, které ukazují TLS 1.3 v akci.

A to je vše k povolení TLS 1.3 na vašem serveru Nginx.


Linux

  1. Jak povolit statistiky HAProxy

  2. Jak povolit předávání IP v systému Linux

  3. Jak zakázat ETag v NGINX

  1. Jak používat Nginx k přesměrování

  2. Jak povolit HTTP2 v NGINX

  3. Jak povolit dokonalé dopředné utajení SSL/TLS v Apache nebo Nginx

  1. Jak povolit HTTP/2 v Nginx

  2. Jak povolit kompresi Brotli v Nginx na CentOS 8

  3. Jak snadno povolit TLS 1.3 v Nginx na Ubuntu 20.04, 18.04, 16.04