Https在Nginx上的最优配置

经过 OpenSSL 社区中国唯一代表指点,优化了一下公司网站,特分享给大家。

世界知名CDN厂商已在github上分享了一些经验。

官方网站:https://github.com/cloudflare/sslconfig

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on

但是需要先给OpenSSL打个patch,网址如下:

https://github.com/cloudflare/sslconfig/blob/master/patches/openssl__1.1.0_chacha20_poly1305.patch,详情如下

如果不想打patch,请用以下配置:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on;

如果你的版本不够高,可能还需要注释一行,官网建议升级到最新稳定版:

OpenSSL官网:https://www.openssl.org/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

# ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on;

祝玩的愉快

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181130B17I6Y00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券