Nginx配置开启Http2.0支持方法(3)
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
}
}
配置进阶
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 HTTP2.0还不够 ,我们仍然需要对 SSL 做一些安全的优化!
配置赫尔曼密钥
禁止不安全的 SSL 协议,使用安全协议
禁止已经不安全的加密算法
缓解 BEAST 攻击
**启用 HSTS**
此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可
**301 跳转**
80 端口跳转到 443 端口
```nginx
server {
listen 80;
add_header Strict-Transport-Security max-age=15768000;
return 301 https://www.yourwebsite.com$request_uri;
}
缓存连接凭据
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 60m;
OCSP 缝合
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 233.5.5.5 233.6.6.6 valid=300s;
欢迎你的补充!
配置进阶
大家都知道去年的心血漏洞将 SSL 推到了风口浪尖,所以单单支持了 HTTP2.0还不够 ,我们仍然需要对 SSL 做一些安全的优化!
配置赫尔曼密钥
openssl dhparam -out dhparam.pem 2048 // 在 ssh 运行, openssl 生成 2048 位的密钥而不是当作参数写入 nginx.conf 文件。
ssl_dhparam /path/to/dhparam.pem; //在 .conf 中配置
禁止不安全的 SSL 协议,使用安全协议
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
禁止已经不安全的加密算法
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
缓解 BEAST 攻击
ssl_prefer_server_ciphers on;```
**启用 HSTS**
此举直接跳过 301 跳转,还降低了中间人攻击的风险!配置在 .conf 中即可
`add_header Strict-Transport-Security max-age=15768000;`
**301 跳转**
80 端口跳转到 443 端口
```nginx
server {
listen 80;
add_header Strict-Transport-Security max-age=15768000;
return 301 https://www.yourwebsite.com$request_uri;
}
缓存连接凭据
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 60m;
OCSP 缝合
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 233.5.5.5 233.6.6.6 valid=300s;
欢迎你的补充!
顶(0)
踩(0)
- 最新评论