Nginx的HTTPS部署与安全性能优化

风情客家__2023-08-26 10:46

Nginx作为一款高性能的Web服务器和反向代理服务器,被广泛用于应用部署和负载均衡。在安全环保意识的逐渐提高下,HTTPS也成为现代Web应用中必不可少的一环。本篇文章将重点介绍Nginx的HTTPS部署和安全性能优化。

一、Nginx的HTTPS部署

证书申请

首先需要去证书颁发机构(CA)进行SSL证书的申请。申请成功后,会得到一个证书文件(.crt)和一个私钥文件(.key)。

HTTPS配置

Nginx的HTTPS配置需要涉及到三个方面:HTTP转发到HTTPS、Nginx的证书配置和HTTPS的配置。

(1)HTTP转发到HTTPS

在Nginx的配置文件中,需要添加一段HTTP的配置,使得用户访问HTTP默认端口80时,能够自动跳转到HTTPS的默认端口443上。

复制代码 
server {
    listen 80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

(2)Nginx证书配置

在Nginx的配置文件中,需要将刚刚申请的SSL证书和私钥文件添加到配置文件中。

复制代码 
server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;
    ...
}

(3)HTTPS配置

需要配置HTTPS协议的具体选项,例如启用HTTP/2协议、禁用SSLv3等。

复制代码 
http2_push_preload on;  #启用HTTP/2协议的推送预加载
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  #指定启用的TLS协议版本
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;  #指定加密套件
ssl_prefer_server_ciphers on;  #常用加密套件优先顺序为服务端指定的值
ssl_session_cache shared:SSL:10m;  #指定SSL session缓存
ssl_session_timeout 10m;  #指定SSL session超时时间

二、Nginx的安全性能优化

在进行HTTPS服务的部署后,还需要注意以下安全性能优化方面的问题,以确保服务的稳定和安全:

检测OCSP响应

OCSP(在线证书状态协议)用于检测证书是否已经被废除。在Nginx的HTTPS配置中,可以通过以下程序进行OCSP响应检测:

复制代码 
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

其中关键点解读如下:

  • ssl_stapling on 开启OCSP响应
  • ssl_stapling_verify on 开启OCSP响应验证
  • ssl_trusted_certificate /path/to/fullchain.pem 配置证书链
  • resolver 8.8.8.8 8.8.4.4 valid=300s 配置DNS解析器
  • resolver_timeout 10s 配置DNS解析时间
    DNS解析器需要配置成公认的可信解析器,这里配置成Google公共DNS。

启用HSTS

HSTS(HTTP严格传输安全)防止用户被劫持到HTTP页面,从而提高安全级别。在Nginx的HTTPS配置中,可以像下面这样开启HSTS:

复制代码 
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

其中关键点解读如下:

  • max-age=31536000 定义HSTS头的持续时间
  • includeSubDomains 启用所有子域名

启用安全协议

默认情况下,Nginx只启用了TLSv1和TLSv1.2,如果需要启用其他的加密协议,可以通过以下方式配置:

复制代码 
ssl_protocols TLSv1.3 TLSv1.2 TLSv1.1 TLSv1;

其中关键点解读如下:

  • TLSv1.3 定义启用的加密协议

启用HMAC密钥算法

通过HTTPS传输的数据,需要使用密钥来加密数据,使用HMAC (Hash-based message authentication code)可以提升数据传输时的安全性。在Nginx配置文件中启用HMAC的方法如下:

复制代码 
ssl_ciphers ... !aNULL !eNULL !EXPORT !CAMELLIA !DES !MD5 !PSK !RC4 !SEED +AES256 !kEDH +SHA256 +HMAC;

其中关键点解读如下:

  • AES256 启用AES256加密算法
  • +SHA256 启用SHA256哈希函数
  • +HMAC 启用HMAC密钥算法
相关推荐
寻星探路39 分钟前
【深度长文】万字攻克网络原理:从 HTTP 报文解构到 HTTPS 终极加密逻辑
java·开发语言·网络·python·http·ai·https
王达舒199439 分钟前
HTTP vs HTTPS: 终极解析,保护你的数据究竟有多重要?
网络协议·http·https
朱皮皮呀41 分钟前
HTTPS的工作过程
网络协议·http·https
Binary-Jeff1 小时前
一文读懂 HTTPS 协议及其工作流程
网络协议·web安全·http·https
Hello.Reader3 小时前
Flink ZooKeeper HA 实战原理、必配项、Kerberos、安全与稳定性调优
安全·zookeeper·flink
智驱力人工智能4 小时前
小区高空抛物AI实时预警方案 筑牢社区头顶安全的实践 高空抛物检测 高空抛物监控安装教程 高空抛物误报率优化方案 高空抛物监控案例分享
人工智能·深度学习·opencv·算法·安全·yolo·边缘计算
数据与后端架构提升之路4 小时前
论系统安全架构设计及其应用(基于AI大模型项目)
人工智能·安全·系统安全
Harvey9036 小时前
通过 Helm 部署 Nginx 应用的完整标准化步骤
linux·运维·nginx·k8s
市场部需要一个软件开发岗位6 小时前
JAVA开发常见安全问题:Cookie 中明文存储用户名、密码
android·java·安全
lingggggaaaa6 小时前
安全工具篇&动态绕过&DumpLsass凭据&Certutil下载&变异替换&打乱源头特征
学习·安全·web安全·免杀对抗
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Linux下V2Ray安装配置指南07Claude Code Skills 实用使用手册08Vue-skills的中文文档09一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南