nginx增强SSL安全配置

      博客修好了,全站加密也开启了,但是黑客对于的攻击尝试从来就没有停止过,因此,针对SSL做一些简单的安全加固还是十分有必要的,当然,对于我这种半罐子水啥都搞不懂的菜鸡linux玩家来说,网络上提供了丰富的配置示例,基本可以拿来即用

      nginx要开启SSL十分简单,示例配置文件如下

server { 
    listen 443 ssl;
    server_name example.com;
    ssl on;
    ssl_certificate /etc/ssl/private/example_com.crt;
    ssl_certificate_key /etc/ssl/private/example_com.key;
}


      但是默认情况下,如果你不给nginx做进一步的安全配置的话,你用SSLLABS来给你刚刚建立的网站来个安全测试,结果一定是这样的

 

test_before

      纳尼,一个大大的B?!

      原因人家在下面都给你写清楚了嘛,你的diffie-hellman算法强度太低,这个diffie-hellman算法是用来干啥的呢?他的作用就是让访问的者浏览器和你的服务器能安全的交换密钥,具体原理就自行谷歌吧,你不能强迫数学渣渣来给你解释密码学的东西是不是?总之nginx默认采用1024位的diffie-hellman,强度太低太危险,容易被别有用心的黑客叔叔破解,自己生成一个2048位的去替换掉就好啦。

      首先登录到服务器 //废话多

cd /etc/ssl/certs  #我习惯把加密参数文件跟我的证书放一起,写路径方便
openssl dhparam -out dhparam.pem 2048 # 如果你的机器性能足够强大,可以用 4096 位加密

      考验cpu性能的时候到了

      经过漫长的等待(这就要看你的vps cpu性能如何了),你的目录下面应该已经出现了一个dhparam.pem文件,接下来我们就要修改nginx的配置文件,让他启用我们新生成的diffie-hellman,并且屏蔽容易被攻击的协议。

      打开你的网站配置文件,例如 /etc/nginx/conf.d/wp.conf
示例配置如下

server {
  listen 443 ssl http2;
  server_name www.example.com;
  ssl on;
  ssl_certificate /etc/ssl/certs/ssl-bundle.crt;#证书文件
  ssl_certificate_key /etc/ssl/private/www_example_com.key;#私钥
  ssl_dhparam /etc/ssl/certs/dhparam.pem;#刚刚生成的那个pem文件的路径
  ssl_session_cache shared:SSL:10m;#开启缓存,有利于减少ssl握手开销
  ssl_session_timeout 10m;#SSL会话过期时间,有利于减少服务器开销
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;#指定可用的ssl协议,排除sslV3等容易被攻击的协议
  ssl_stapling on;#开启证书吊销状态检查
  ssl_trusted_certificate  /etc/ssl/certs/ssl-bundle.crt;#这个证书路径跟上面一样
  ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";#屏蔽不安全的加密方式
  ssl_prefer_server_ciphers on;
  add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";#开启HSTS,强制全站加密,如果你的网站要引用不加密的资源,或者考虑将来取消加密,就不要开这个
  location / {
    ……………………
  }
}

      好了,保存回到命令行界面,执行nginx -t,nginx会自动检测你的配置文件语法是否正确

20160508013053

      如果看到如图所示的字样,就大胆地执行service nginx reload
      再去测试一遍,哈哈,结果是不是变成A+了?恭喜你,你的https网站更安全了!

QQ截图20160506022420

参考资料:
http://www.tuicool.com/articles/uQfIrqJ
https://github.com/sunflyer/EasyUbuntu/blob/master/setHttps.sh
https://www.ssllabs.com/ssltest/
https://weakdh.org/sysadmin.html

在 “nginx增强SSL安全配置” 上有 1 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注