一、TLS简介
TLS(Transport Layer Security)是一种加密传输协议,是SSL(Secure Sockets Layer)的升级版。TLS协议用于在Internet上通过加密验证的方式保障网络通信安全。通俗地说,它是一种保证网站数据传输安全的加密协议。在TLS协议下,所有的数据都加密处理,并且只有目标服务器和客户端才有密码解析的权利。
二、Nginx基础
Nginx是一款高性能的Web服务器和反向代理服务器,它的高性能表现主要得益于事件驱动、异步I/O等技术特性。Nginx在反向代理中,可以通过配置文件实现访问控制、负载均衡、HTTP缓存、反向代理等高级功能。
三、Nginx与TLS
通过Nginx的配置,我们可以为Web服务器添加基于TLS的加密通道,实现HTTPS协议构建的安全通信通道。
#nginx.conf中的server段配置HTTPS
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /path/to/ssl.crt;
ssl_certificate_key /path/to/ssl.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
location / {
proxy_pass http://127.0.0.1:8080;
}
}
#生成自签名证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /path/to/server.key -out /path/to/server.crt
四、Nginx与HTTPS的多用途
Nginx在使用TLS时,还可以做以下事情:
- 强制所有请求重定向到HTTPS;
- 限制SSL协议的版本和加密选择;
- 使用OCSP和CRL来验证证书;
- 协助提供可观察的证书套件,以检查证书链和认证可能存在的问题;
- 限制一定时间内的多次请求;
- 在配置文件中启用TLS过程中必需的参数,如压缩、标头大小等。
五、Nginx实现TLS的建议
- TLS协议中的密钥生成和session ticket对应缓存的问题:可以采用客户端证书认证,采用更高密钥位数,加密算法更加安全的策略;
- 利用nginx优先级较低,改用其他的前端来完成TLS的代理:可以采用HAProxy来进行TLS代理;
- 还需对SSL加强加密、突破SSL被攻击漏洞等方面进行思考。
六、Nginx与TLS的优点
- 更加安全:基于TLS协议,加密传输数据,提高数据传输的安全性;
- 性能更好:采用事件驱动、异步I/O等技术,大幅度提高服务器的并发处理能力;
- 方便部署:通过简单的配置文件,就可完成HTTPS协议的配置与使用。
