Nginx配置SSL协议

最新推荐文章于 2025-09-29 09:15:00 发布
原创 最新推荐文章于 2025-09-29 09:15:00 发布 · 2.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了SSL/TLS协议的作用和层次结构,强调了安全协议的重要性。通过实例展示了如何检测并修复Nginx中的CVE-2016-2017漏洞,包括检查Nginx的OpenSSL编译方式、升级OpenSSL模块以及修改Nginx的SSL配置以增强安全性。

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。


以上这些是基本的关于SSL的介绍, 通常来讲既然有安全措施, 就会有相应的破解办法。如果有人找到了方法, 对应的也就有了一个安全漏洞。

近年比较有名的心血漏洞(Heartbleed)漏洞给互联网安全带来了很大的危机, 所幸很快公布了安全补丁措施。下面我来介绍下发现安全传输层漏洞的时候怎么处理。


下面我们从检测一个网址的SSL/TLS是否符合标准或有明显的安全漏洞, 然后进行一些对应的处理。

1.  打开https://myssl.com/输入要检测的网址

    

    检测发现有CVE-2016-2017漏洞, 易受攻击, 套件版本低导致安全系统下降。



2. 解决CVE-2016-2017漏洞

    目前解决的办法, 就是升级OpenSSL模块, 新版中修复了这个问题。在Linux环境中首先要判断Nginx对OpenSSL模块采取的是静态还是动态编译。

    不少服务器使用的Nginx,是静态编译opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的openssl动态链     接库的,必须将nginx重新编译才可以根治。

    输入命令/usr/sbin/nginx -V查看当前机器的编译配置, 如果没有包含-with-openssl=, 说明是动态编译, 那么只要用yum更新OpenSSl版本, 然后重启Nginx, 相对比较简单。

    

3. 修改Nginx套层协议配置

    打开/etc/nginx/conf.d/*.conf配置文件, 找到监听(listen)开启SSL的server, 如果只配置了证书路径, 那么nignx就会使用默认的安全协议使用配置。

   为了提高安全性, 我们需要设置合适的安全协议。

    将一下配置插入到开启了ssl协议的安全监听端口, 然后reload nginx配置文件即可。

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers  ECDSA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!DH:!RC4;
    ssl_prefer_server_ciphers   on;

     

4. 经过以上配置, 我们重新检测当前网址, 查看结果。

     

       

Nginx 支持Http2协议
jeikerxiao
12-28 3249
Nginx 支持Http2协议 1.要开启HTTP/2协议支持,需要在nginx 1.10以上版本并且需要openssl库的版本在1.0.2以上编译。 2.http2.0只支持开启了https的网站。 查看当前OpenSSL版本 openssl version 需要openssl库的版本在1.0.2以上 nginx version: nginx/1.14.1 built by gcc 4.8.5...
Nginx 配置 SSL(HTTPS)详解
m0_74824044的博客
03-07 1640
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
Nginx解决SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
09-29 767
Nginx解决SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
SSL/TLS协议中的Diffie-Hellman公共密钥过问题及解决方案
weixin_41888295的博客
05-22 5392
3、使用Diffie-Hellman签名:为了保证通信双方交换的密钥是安全的,可以使用Diffie-Hellman签名来验证密钥交换过程中是否存在误差。Diffie-Hellman协议用于生成公共密钥对,以确保通信双方交换的密钥是安全的。其原理是:在两个节点之间交换一些随机数,然后使用这些随机数计算出一个固定的椭圆曲线参数(ECC),接着生成两个大质数p和q,它们将成为Diffie-Hellman密钥交换的基础。在实际使用中,由于计算ECC的过程中可能存在误差,导致生成的密钥可能存在一定程度的点。
Nginx 配置 SSL证书
热门推荐
程序猿进阶
02-10 7万+
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
SSL Certificate Signed Using Weak Hashing Algorithm,使用哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https
weixin_40555654的博客
06-24 1万+
SSL Certificate Signed Using Weak Hashing Algorithm,使用哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https协议
Vue项目部署Nginx配置文件 SSL
08-11
然后在 Nginx 配置中添加 `ssl` 相关指令。 ```nginx server { listen 443 ssl; # 使用443端口 server_name yourdomain.com; ssl_certificate /path/to/your/certificate.crt; # 替换为你的证书路径 ssl_...
Windows下Nginx配置SSL实现Https访问(包含证书生成)
10-12
### Windows 下 Nginx 配置 SSL 实现 HTTPS 访问(包含证书生成) #### 一、HTTPS 的重要性 HTTPS(Hyper Text Transfer Protocol Secure),即安全超文本传输协议,是在 HTTP 协议的基础上加入了 SSL/TLS 协议,...
Nginx配置SSL证书与HTTPS和负载均衡
2301_81841155的博客
07-22 1895
本文系统介绍了Nginx配置SSL证书管理的完整流程。主要内容包括:1. Nginx基础配置:通过域名访问站点,配置多端口子站点;2. SSL证书详解:单站点与通配符证书的区别,主流CA供应商;3. 证书实践:创建自签名CA证书并签发域名证书,配置系统信任;4. 高级功能:Nginx反向代理、负载均衡配置及百万并发理论优化方案;5. 域名体系解析:一/二级域名的定义与区别。文章提供了从基础配置到高级优化的完整技术路线,适合不同层次的运维人员参考。
Nginx 配置SSL证书
峰迹的博客
04-18 814
通过以上步骤,您已经成功地在Nginx配置SSL证书,并实现了从HTTP到HTTPS的无缝重定向。这不仅提高了网站的安全性,也有助于提升用户的信任度和搜索引擎的排名。
配置 Nginx SSL 避免不够安全的加密算法
warrior_wjl的专栏
05-04 4万+
如果Web服务中的SSL
SSL协议安全系列:SSLPRNG带来的安全问题
weixin_34162228的博客
03-08 341
GoSSIP_SJTU · 2015/10/10 10:460x00 前言在前两讲中,我们主要对SSL协议中CBC模式的安全性进行了系统的介绍。这一讲中我们对用于生成SSL中所用密钥的PRNG做一点简单介绍。0x01 什么是PRNG?PRNG(pseudo Random Noise Generation),即伪随机噪声生成,用于生成各种密码学操作中所需的随机数。一般而言,Linux系统中的PRN...
SSL加密算法问题
发哥微课堂
09-07 7277
0x00:漏洞介绍 脆SSL 加密算法也可以叫它 openssl 的 FREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低,就会存在这个 SSL 加密问题。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3...
nginx ssl 漏洞 修复
HTM_Smile的博客
04-26 737
【代码】nginx ssl 漏洞 修复。
浅谈“脆SSL加密算法“
→_→
07-06 8394
一:漏洞名称: 加密算法、脆的加密算法、脆SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆。黑客可利用SSL加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较的加密算法将不能较好的保证通...
如何在 Windows 服务器上禁用版本的 SSL/TLS 协议
mtiandlb
06-18 4823
如何使用 Windows PowerShell 禁用传输层安全性 (TLS) 和安全套接字层 (SSL) 协议版本。当然,在禁用版本的 SSL / TSL 协议之前,您需要确保可以在您的系统上使用 TLS 1.2 协议。禁用 SSL 2.0 和 SSL 3.0。Windows 操作系统兼容的协议。系统与版本 TLS 1.2 兼容。禁用 TLS 1.0 和 1.1。禁用 SSL v3.0。启用 TLS 1.2。禁用 TLS 1.1。
SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 9115
SSL加密算法漏洞原理以及修复方法
Nginx介绍
ziania_cumt的博客
04-18 1100
Nginx介绍
nginx服务器信息泄露漏洞新发现,Encrypt+nginx之漏洞 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)...
weixin_32799203的博客
08-06 1209
根据漏洞扫描的提示查看官网给出的解释,如下:SWEET32 Mitigation (CVE-2016-2183)SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In mitigation for the SWEET32 att...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值