nginx的配置:TLSv1 TLSv1.1 被暴露不安全

最新推荐文章于 2025-04-29 15:05:10 发布
最新推荐文章于 2025-04-29 15:05:10 发布
阅读量1.2k 收藏
点赞数 3
文章标签: nginx 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunyuhua_keyboard/article/details/140609913
版权

要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。下面是一个示例配置:

# 位于 Nginx 配置文件 (通常是 /etc/nginx/nginx.conf 或者在特定站点的配置文件中 /etc/nginx/sites-available/your-site) 中

server {
    listen 443 ssl;
    server_name your-domain.com;

    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;

    # 启用 TLSv1.2 和 TLSv1.3,禁用 TLSv1 和 TLSv1.1
    ssl_protocols TLSv1.2 TLSv1.3;

    # 使用安全的加密套件
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

    ssl_prefer_server_ciphers on;

    # 其他 SSL 配置
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_dhparam /path/to/dhparam.pem;

    # 其他 Nginx 配置
    location / {
        proxy_pass http://your_backend_server;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

在这个配置中:

  • ssl_protocols TLSv1.2 TLSv1.3; 明确地禁用了 TLSv1 和 TLSv1.1。
  • ssl_ciphers 指定了一些安全的加密套件。
  • ssl_prefer_server_ciphers on; 配置 Nginx 使用服务器优选的加密套件。

确保你已经生成了 dhparam.pem 文件,可以通过以下命令生成:

openssl dhparam -out /path/to/dhparam.pem 2048

完成配置后,重启 Nginx 以应用更改:

sudo systemctl restart nginx

这样,您的 Nginx 服务器将只允许更安全的 TLSv1.2 和 TLSv1.3 协议,并且禁用不安全的 TLSv1 和 TLSv1.1。

nginx管理:配置SSL证书、把http的域名请求转成https、流水线nginx镜像部署VUE项目
专注于计算机研发知识和资讯分享
12-11 1636
dockerfile: 镜像构建。流水线配置:node.js构建。
Nginx SSL/TLS配置:搭建安全的HTTPS网站
Dxy1239310216的博客
05-23 1333
Nginx作为一款高性能的HTTP和反向代理服务器,支持SSL/TLS协议,使得我们可以轻松地搭建安全的HTTPS网站。下面,我们将详细介绍如何在Nginx配置SSL/TLS,以搭建一个安全的HTTPS网站。此外,你还可以使用在线的SSL检测工具(如SSL Labs的SSL Test)来检查你的HTTPS配置是否安全。如果一切正常,你应该能看到一个绿色的地址栏,表示你的网站已经成功启用了HTTPS。现在,你可以通过浏览器访问你的网站,并使用HTTPS协议(即使用。
漏洞修复启用了安全的TLS1.0、TLS1.1协议
ZL_1618的博客
04-15 2353
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3
热门推荐
qq_42287535的博客
07-28 1万+
nginx代理禁用网站TLSv1.0 TLSv1.1,只启用TLSv1.2 TLSv1.3
深入理解SSLv3和TLSv1的握手协议和密码计算
最新发布
weixin_28736145的博客
04-29 493
本篇博客详细解析了传输层安全协议SSLv3和TLSv1的关键组成部分,包括服务器和客户端如何通过证书进行认证、密钥交换机制以及握手过程的最终阶段。文章深入探讨了密钥计算和散列算法的运用,以及如何通过这些过程确保数据传输的安全性。此外,还对比了SSLv3和TLSv1之间的差异,特别是HMAC算法的使用。
Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20
Ximerr的博客
06-05 2624
nginx启动报错: nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/nginx.conf:20 问题解决记录。
马上:安卓5.0以下系统兼容 TLSv1.1 TLSv1.2
Extra Lazy的博客
01-04 1万+
马上:安卓5.0以下系统兼容 TLSv1.1 TLSv1.2 最近在知情下,运维升级https证书级别为1.2,导致了安卓5.0以下的设备无法上网(接口证书错误),安卓7.12设备可以访问 查阅官方文档 SSLSocket 借一个表格说明问题: Protocol Supported (API Levels) Enabled by default (API Levels) SSLv3 1–25 1–22 TLSv1 1+ 1+ TLSv1.1 16+ 20+ TLSv1.2
服务器系列:服务器禁用TLS1.0和TLS1.1协议使网站更安全
行成于思,形之于文
03-06 6367
1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf。1-2. 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下。
apache和nginx的TLS1.0和TLS1.1禁用处理方案
fwdwqdwq的博客
08-01 4591
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。比较容易受攻击,目前新版本的TLS协议已经更新到TLS1.2、TLS1.3,高版本的TLS协议会对一些浏览器和系统兼容有影响,但是从互联网通信安全考虑,建议还是禁用TLS1.0和TLS1.1,启用TLS1.2和TLS1.3.TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS1.0和TLS1.1是分别是96年和06年发布的老版协议。...
Nginx禁用TLS 1.0和TLS 1.1
zyy247796143的博客
07-01 1万+
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
nginx 修复TLS1.0,TLS1.1协议漏洞
老油条
07-10 5400
序号 漏洞名称 加固建议 1 TLS版本1.0协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0的支持 2 TLS版本1.1协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.1的支持 漏洞检测: root@macs:~# nmap --script ssl-enum-ciphers -p 443 192.168.1.8 Starting Nmap 7.80 ( https://nmap.org )..
error Error: write EPROTO...SSL routines:ssl3_read_bytes:tlsv1 alert internal...SSL alert number 80
q1003675852的博客
01-25 3732
前端编译报错error Error: write EPROTO 139798789396352:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../deps/openssl/openssl/ssl/record/rec_layer_s3.c:1546:SSL alert number 80的问题记录。
Git报错:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version
icepoint的博客
05-07 5325
SSLroutines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version 当从Github远程仓库进行git clone或者向Github远程仓库git push的时候,会报错: 原因: 在 2018年2月22日19:00 UTC,GitHub 停止了对TLS 1.0 和 1.1 协议的支持,仅支持与 TLS 1.2 协议的连接。 ...
linux上关闭tls1.0协议,NGINX禁用TLS1.0和TLS1.1使网站更安全
weixin_39758956的博客
05-15 1万+
一、为什么要禁用 TLS1.0、TLS1.1:SSL 由于以往发现的漏洞,已经被证实安全。而 TLS1.0 与 SSL3.0 的区别实际上并太多,并且 TLS1.0 可以通过某些方式被强制降级为 SSL3.0。由此,支付卡行业安全标准委员会(PCI SSC)强制取消了支付卡行业对 TLS 1.0 的支持,同时强烈建议取消对 TLS 1.1 的支持。苹果、谷歌、微软、Mozilla 也发表了声明...
java tlsv1,Java Server,TLSv1.1快,TLSv1.2极慢(90MByte / sec对4MByte / sec)
weixin_36450668的博客
02-27 327
The only change between tests is changing the TLS version. Behavior is the same between Chrome and FireFox.TLSv1, and TLSv1.1 both get 90 MegaByte/sec. They get this speed on Java 6 (TLSv1), and Java...
Nginx SSL/TLS 配置
Flying_Fish_roe的博客
12-18 1756
SSL(Secure Sockets Layer)和 TLS(Transport Layer Security)都是加密协议,主要用于保护网络通信的安全。SSL 是最早的版本,而 TLS 是其后续版本。尽管 TLS 更为安全和高效,但由于历史原因,人们通常习惯性地称其为 SSL。SSL/TLS 协议通过对称加密和非对称加密相结合的方式,在客户端和服务器之间建立一个安全的加密通道,防止数据在传输过程中被窃取或篡改。
nginx禁用tlsV1.1
03-05
可以通过在nginx配置文件中添加以下代码来禁用TLSv1.1: ssl_protocols TLSv1.2 TLSv1.3; 这将只允许使用TLSv1.2和TLSv1.3协议进行加密通信,而禁用TLSv1.1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值