Nginx完全正向保密(perfect forward secrecy)设置

最新推荐文章于 2024-09-04 10:36:22 发布
原创 最新推荐文章于 2024-09-04 10:36:22 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

完全正向保密(perfect forward secrecy)是信息安全中提出的观点。要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。设计旨在长期使用密钥不能确保起安全性的情况下而不影响过去会话的保密性。

维基百科上有该条目,可以去看看,下面是我的理解。

perfect forward secrecy是在HTTPS基础上进一步保护用户电脑同服务器之间的加密通讯。

其解决的一个安全场景就是,如果服务器同用户间的加密通讯内容被窃听,也被储存下来,这些被加密的内容虽然当时无法被解密,被破解,但是当日后,服务器的SSL密钥被取得后(不管是何种原因被取得密钥),这些过往的内容是可以用这个密钥来解密的。这样虽然时效性可能差些,但是仍然是会有被破解的危险存在。


而采用 完美远期加密 的 SSL 或者 HTTPS 通讯,加密钥匙只是短暂性的,而且不能从服务器的 SSL 密钥中推算出来,这样即使日后 SSL 密钥被第三方取得,过去和未来的 HTTPS 通讯仍然安全,窃听者始终无法破解所窃听的内容(以目前的技术而言)。


目前只有用 ephemeral Diffie-Hellman 的算法才算是 完美远期加密

 

Nginx的设置(里面表明了最低支持的nginx版本)

ssl_protocols TLSv1.3;# Requires nginx >= 1.13.0 else use TLSv1.2
ssl_
最低0.47元/天 解锁文章

200万优质内容无限畅学
Nginx正向代理https请求
飞龙在天
07-14 6058
​ 默认开源版本的nginx是不支持代理https请求的,如果要实现这个功能,需要第三方模块 https://github.com/chobits/ngx_http_proxy_connect_module ​
Nginx 正向代理互联网访问
Hu_wen的专栏
02-25 5760
环境 在一个网络环境中,只有一台服务器可以使用互联网,而其他内网服务器都可以访问到这台互联网服务器,于是,我们可以通过nginx正向代理访问互联网地址 此处举例: 互联网服务器IP:192.168.1.100 内网服务器IP:192.168.1.101 部署 安装包:nginx-1.20.2.tar.gz proxy_connect模块:git clone https://github.com/chobits/ngx_http_proxy_connect_module.git 操...
完全正向保密
CASpecialist的专栏
08-14 1323
完全正向保密perfect forward secrecy)是信息安全中提出的观点。要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。设计旨在长期使用密钥不能确保起安全性的情况下而不影响过去会话的保密性。
perfect forward secrecy
miaomiaodmiaomiao的专栏
05-25 422
完全正向保密perfect forward secrecy)是信息安全中提出的观点。要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。设计旨在长期使用密钥不能确保起安全性的情况下而不影响过去会话的保密性。
Forward secrecy
weixin_30905981的博客
03-10 384
In cryptography,forward secrecy(FS), also known asperfect forward secrecy(PFS), is a property of secure communication protocols in which compromises of long-term keys do not compromise past s...
完美前向保密Perfect Forward Secrecy, PFS)
ma_sherlock的博客
03-08 659
PFS仅仅指长期私钥(long-term secret key)的泄露不会影响过去协商的会话密钥的安全性。
前向保密Forward Secrecy,也称为完美前向保密Perfect Forward Secrecy,PFS)
最新发布
坚定目标,超越自我
09-04 1200
前向保密Forward Secrecy,也称为完美前向保密Perfect Forward Secrecy,PFS)是一种加密通信协议的属性,它确保即使在未来某个时间点上长期使用的私钥(如服务器的私钥)被泄露,攻击者也无法解密之前已经捕获并记录的加密通信内容。这意味着每次通信会话都使用一个独立的、临时的会话密钥进行加密,即使主私钥被泄露,之前的通信记录也仍然保持安全。
nginx正向代理https网站
一个致力于开源代码学习、分析和交流的博客
02-23 8531
本文描述了如何通过nginx代理来实现内网服务器的yum访问。
nginx正向代理解决非80端口请求
12-28
nginx正向代理,假设监听80端口,而一个用户请求的url带非80端口号,nginx会默认将该url请求转到80端口,百度了一番,网友提供的方法都无法解决问题,于是自己用lua解决了: 1、最多的解决方式就是在$host后面添加...
完美前向保密PFS
weixin_34101784的博客
09-05 1172
===========来自网友=========== “前向安全性”应当是叫做“forward security”。该定义最早是由Mihir Bellare和Sara K. Miner在 CRYPTO’99上提出的关于数字签名的性质[1]。而“perfect forward secrecy”则是由Christoph G. Günther在EUROCRYPT ’89提出的,其最初用于定义会话密钥交...
TLS完美前向保密perfect forward secrecy)翻译
热门推荐
gufachongyang02的专栏
11-29 1万+
TLS完美前向加密(perfect forward secrecy)翻译
Forward Secrecy
weixin_30345577的博客
06-20 229
既然做了TLS1.2支持,看了一下SSL Labs,评分是 “A-” 干脆把Forward Secrecy也支持了吧 $os = Get-WmiObject -class Win32_OperatingSystem if ([System.Version]$os.Version -lt [System.Version]'10.0') { Write-Host 'Use cipher ...
更进一步的提高 SSL 的安全性,支持 Forward Secrecy
weixin_34019144的博客
05-08 570
之前一篇对于 SSL 优化的部分,谈到了去掉 RC4 算法的支持,把总评分提高到了 A-。但是还是有一项警告内容让我注意到了。The server does not support Forward Secrecy with the reference browsers.这里的 Forward Secrecy 是什麽呢?维基百科上有该条目,可以去看看,下面是我的理解。forwa...
检测到弱密码套件:不支持完全前向保密
weixin_41645232的博客
03-31 5187
服务器支持以下较弱的密码套件: ID 名称 SSL 版本 47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2 53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2 60 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS 1.2 61 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS 1.2 156 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2 157 TLS_RSA_WITH_
nginx配置正向代理以及增加密码验证
lswandt博客
05-14 5165
nginx正向代理https,以及密码验证
保护好你的秘密
LVXIANGAN的专栏
03-19 1659
在自由黑客和政府特工的两面夹击下,想要安全地交换数据很难。大多数安全数据交换都以公钥加密为基础,而公钥加密依赖于信任,可那些窃取数据的人都是滥用信任方面的专家。理应安全的连接也会被降级,安全级别和它最容易被攻破的薄弱点处于同一水平,并且即便最强的加密形式在私钥暴露后面对数据捕获和破解也非常脆弱。 但我们仍然有办法可以保护秘密,特别是在数据交换双方都可控的情况下。本文会介绍一些能够确保应用数据
增强 nginx 的 SSL 安全性
Larry的博客
12-29 9044
本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁;禁用协议上存在安全缺陷的 SSLv3 及更低版本,并设置更健壮的加密套件(cipher suite)来尽可能启用前向安全性(Forward Secrecy);此外,我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置,并可以在 Qual
加密数据安全性的两大安全护盾-前向安全性与后向安全性详解
A_991128a的博客
03-06 1901
前向安全性,也称为完美前向保密Perfect Forward Secrecy,PFS),是指即使长期密钥在未来被破解或泄露,也不会危及过去的通信内容,从而保护过去的通信内容不被破解。具体来说,如果一个密码系统具有前向安全性,那么在某个时刻之后泄露的密钥将无法解密在此之前加密的数据。后向安全性(BackwardSecurity)是指一个密码系统在密钥泄露或密码被破解的情况下,不会对未来的通信内容的安全性产生影响。
Nginx 的相关配置
三年学说话,一生学闭嘴
10-28 1570
下载 生成的配置: nginxconfig.io-example.com.tar.gz 然后 上传 到你的服务器的/etc/nginx 目录. 或, 复制压缩配置的base64字符串,将其粘贴到服务器的命令行并执行。 进入你的 NGINX服务器上的配置目录: cd /etc/nginx 创建当前NGINX配置的备份: tar -czvf nginx_$(date +'%F_%H-%M-%S').tar.gz nginx.conf sites-avail...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值