Как включить TLS 1.2 в Nginx?

Как включить TLS 1.1 и 1.2 для соединений SSL на моем сервере Ubuntu 12.04?

Я считаю, что есть три варианта.

Во-первых, ничего не делайте и используйте версию OpenSSL для Ubuntu 12. Я считаю, что TLS 1.1 теперь поддерживается, но у вас все еще не будет TLS 1.2.

Во-вторых, постройте и поддерживайте свой собственный PPA . Есть некоторые инструкции для этого в Переопределить пакет Distro с пользовательским пакетом? Для полноты, не существует существующих архивов личных пакетов для Ubuntu и OpenSSL , которые предлагают полные протоколы.

В-третьих, это обновление до более поздней версии Ubuntu, такой как Ubuntu 14. Я пытаюсь определить, поддерживает ли Ubuntu 14 их все в данный момент. См. Ubuntu 14, OpenSSL и протоколы TLS? .

Сначала вам нужно активировать SSL / TLS в nginx.conf:

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.org;

    ssl_certificate /etc/ssl/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

Две строки listen включают SSL в вашем соединении IPv4 и IPv6. Если у вас нет IPv6, вы можете пропустить вторую строку listen.

Я предполагаю, что ваш сертификат сервера находится в /etc/ssl. Если вы используете другой путь, вы измените последние две строки.

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

Это позволяет использовать разные версии TLS. Все современные браузеры могут использовать TLS1.2. Для старых браузеров я написал небольшую инструкцию по включению безопасных настроек .

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;
ssl_prefer_server_ciphers on;

Первая строка устанавливает шифры, которые должен использовать ваш nignx. Вторая строка предпочитает наборы шифров на стороне сервера (а не клиента). Таким образом, вы можете использовать сильные (er) шифры.

Если вы закончили, ваш nginx должен использовать TLS1.2. Если хотите, вы можете добавить свой сайт в зал славы TLS1.2 и гордиться. ;)

Однако есть несколько способов улучшить настройки. Я следую этому немецкому руководству по безопасной настройке nginx .

Существует множество рекомендаций по безопасности, которые были рассмотрены в последующих версиях nginx. Если вы все еще (6 месяцев на прежнем посту?) В этой ситуации, серьезно подумайте об обновлении; Настройки TLS не имеют значения, если сам веб-сервер небезопасен. Подробнее см. http://nginx.org/en/security_advisories.html .

Если по какой-то причине вы ДОЛЖНЫ запустить эту версию nginx, информация, доступная о включении надежных наборов шифров с nginx (или Apache), здесь, вероятно, поможет: https://community.qualys.com/blogs/ SecurityLabs / 2013/08/05 / конфигурированию-апачский-Nginx-и-OpenSSL-для-вперед-тайна