|教程|Nginx 启用 TLSv1.3

tengxunyun cera

6 月,OpenSSL 发布了 1.1.1 pre8 版本,开始支持最新的 TLSv1.3 draft28 草案。

几天前,ietf 发布 TLSv1.3 最终定稿 RFC 8446(Via),这将作为 TLSv1.3 的正式版本,结束 draft23 draft28 等草案阶段的历史使命,并为日后的互联网安全提供巨大推动力。

然后在今天,BoringSSL 已提供 TLS_1_3_VERSION (tls13_rfc) 支援(Via)。

关于 TLSv1.3 的特性,可以参照 维基百科 傳輸層安全協議。对于 TLSv1.3 的更多科普,也可参看 dcc 的文章。

今日提交的 BoringSSL Commit d451453 已可用于 TLSv1.3 的正式部署。

编译
使用 BoringSSL 时,开启 TLSv1.3 要求使用 Nginx master 分支及以上(Via)。BoringSSL 也需采用 master 分支。

git clone --branch=master https://github.com/nginx/nginx.git
git clone --branch=master https://github.com/google/boringssl.git

接下来就是编译,过程参考这篇文章。

配置
编译完成后, Nginx 配置文件 server 段添加 ssl_protocols TLSv1.3;。

TLSv1.3 现行 cipher 只有以下三种:

TLS-AES-128-GCM-SHA256
TLS-AES-256-GCM-SHA384
TLS-CHACHA20-POLY1305-SHA256

所以 Nginx 配置文件应该是这样写的:

server {
    ...

    ssl_protocols TLSv1.3 TLSv1.2;
    ssl_ciphers  '[TLS13-AES-128-GCM-SHA256|TLS13-CHACHA20-POLY1305-SHA256] TLS13-AES-256-GCM-SHA384 [ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305] ECDHE-RSA-AES256-GCM-SHA384';
}

cera cloudiplc

相关推荐

腾讯云服务器挂载本地数据盘教程

新创建腾讯云服务器之后,需要登录到服务器的操作系统挂载本地数据盘。可选的登录方式包括控制台(WebVNC)登录、SSH登录、远程连接等。关于步骤的详细介绍,请参考连接实例。 活动地址:2020年腾讯云618云聚惠 本节介绍如何正确挂载本地数据盘,其中包含的格式化方法适用于不超过2TB的数据盘。如果数据盘较大,请参考分区格式化大于2TB的数据盘。 为Linux系统挂载本地数据盘 格式化数据盘 输入#fdisk -l#查看#腾讯云#服务器挂载的数据盘信息。 对数据盘分区,此处以名为vdb的数据盘为例。 a. 输入fdisk /dev/vdb对数据盘进行分区。 b. 输入n创建新分区。 c. 输入p创建出一个单分区,或输入e创建多个分区。 d. 输入分区编号,可选值为1到4。 e. 选择该分区的扇区起始值,回车键默认为2048。 f. 选择该分区的扇区结束值,回车键默认为最大值。 g. 输入w完成分区并退出。 格式化数据盘新分区vdb1,此处以ext4文件系统为例,输入mkfs.ext4 /dev/vdb1。 创建挂载点并挂载数据盘 新建挂载点,本例中为挂载点命名为data,输入mkdir /data。 输入mount /dev/vdb1 /data手动挂载分区vdb1到挂载点data。 输入df -h查看已挂载的文件系统。 配置开机自动挂载 设置分区vdb1开机自动挂载,否则开机无法看到此文件系统。 输入vim /etc/fstab打开 /etc/fstab 文件。 在文件末尾添加/dev/vdb1 /data ext4 defaults 0 0。 为Windows系统挂载本地数据盘 数据盘联机 登录腾讯云服务器,打开“计算机管理”。 单击“磁盘管理”。 右击目标数据盘,并选择“联机”。 初始化磁盘,可以选择#MBR#或者#GPT分区#格式。大于2TB磁盘空间的请选择GPT分区格式。 新建卷 右击已挂载的数据盘,并选择“新建卷”。 在新建卷向导中,使用默认的服务器和磁盘设置,并单击“下一步”。 设置卷大小,并单击“下一步”。 …

宝塔通过NGINX反向代理 缓存文件搭建镜像站

location / { proxy_ssl_server_name on; expires 3d; proxy_set_header Accept-Encoding ”; root /www/wwwroot/【域名】; proxy_store on; proxy_store_access user:rw group:rw all:rw; proxy_temp_path /www/wwwroot/【域名】; if ( !-e $request_filename) { proxy_pass https://raw.githubusercontent.com; } } 可以通过上述代码在宝塔创建#反向代理#后,通过修改配置文件搭建镜像站,用来搭建#github#下载#镜像#比较方便,同时文件会在网站目录下保存,可以反向代理https网站

AWS CloudFront|AWS CDN|设置|使用教程;为WordPress加速

因网络知识浅薄,若有错漏,麻烦不吝指正。 一、AWS CloudFront简单介绍 Amazon CloudFront,即AWS #CDN#,节点分布全球,亚洲国内、#日本#、#香港#、#新加坡#等,除国内节点需要#备案#,其他均不需要。 首年免费,每月送50GB流量。流量只计算出流量,入流量不计。 AWS #CloudFront#官网:https://aws.amazon.com/cn/cloudfront/ 二、AWS CloudFront的注册 AWS CloudFront有中文页面,注册需要手机、#信用卡#验证。 三、AWS CloudFront的申请、设置 以tg.tn为例(在主机处,同时绑定tg.tn和www.tg.tn,访问主域名为tg.tn) 进入AWS CloudFront后台,点击 Create Distribution 选择 WEB 加速 Origin Domain Name:只能是域名,www.tg.tn Origin Protocol Policy:如果安全性重要,就用https Query String Forwarding and Caching:选择全部缓存 Compress Objects Automatically:选YES 申请/导入域名SSL证书:https://console.aws.amazon.com/acm/home?region=us-east-1#/ AWS SSL证书申请,安装说明一步一步,非常简单。 导入证书的话,选择Apache格式的。 这就是创建好的。选择 ID 进入CDN管理,选择EDIT Alternate Domain Names(CNAMEs):填写要加速的域名 SSL Certificate:可以用AWS的(免费),也可以用自己的SSL证书(免费) 三、DNS解析设置 在自己的域名解析处设置(建议国内DNSPOD、DNS.COM、华为云DNS等) www.tg.tn 全网#解析# A记录 为你的主机IP(解析源) …

|教程|阿里云国际|流量包脚本监控 超流量自动关机

#教程# 阿里云国际 – 流量包脚本监控 超流量自动关机 很多同学在使用#阿里云##国际#的时候被无聊的人#刷流量#,导致很快#流量包#被用完,这里给出个 PHP 的#监控#,用定时 cron 实现超流量就自动关机。 把下面的文件保存为 datamonitoring.php { $canonicalizedQueryString .= ‘&’ . percentEncode($key) . ‘=’ . percentEncode($value); } // 生成用于计算签名的字符串 stringToSign $stringToSign = ‘GET&%2F&’ . percentencode(substr($canonicalizedQueryString, 1)); // 计算签名,注意 accessKeySecret 后面要加上字符’&’ $signature = base64_encode(hash_hmac(‘sha1’, $stringToSign, $accessKeySecret . ‘&’, true)); return $signature; } function get_action($data,$Version,$host){ date_default_timezone_set(“GMT”); $dateTimeFormat = ‘Y-m-d\TH:i:s\Z’; global $AccessKey_ID; …

微信扫一扫,分享到朋友圈

|教程|Nginx 启用 TLSv1.3