首页 > nginx > nignx 中的 ssl_ciphers 如何配置

nignx 中的 ssl_ciphers 如何配置

2020年5月19日 发表评论 阅读评论

这个指令的参数是以冒号为分割的 OpenSSL name,需要根据你的 openssl 版本支持的算法套件来配置,每个名字代表了 TLS 握手所使用的算法、证书签名、完整性检查算法。

 

以ECDHE-RSA-AES128-GCM-SHA256 为例

秘钥交换算法:ECDHE
证书验证签名算法:RSA
建立连接后的对称加密算法:AES128
完整性检查HASH算法:GCM-SHA256

查询 OpenSSL 支持哪些算法套件:

Kx  密钥交换算法  :用来协商回话密钥
Au 验证算法 :用来验证服务端身份
Enc对称加密算法:加密消息
Mac摘要算法:防消息篡改

 

以下三个名字都是不同叫法的同一套加密套件:

IANA name:TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

OpenSSL name:ECDHE-RSA-CHACHA20-POLY1305

GnuTLS name:TLS_ECDHE_RSA_CHACHA20_POLY1305

TLS Version(s):TLS1.2


Protocol:Transport Layer Security (TLS)

Key Exchange:Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)

Authentication:Rivest Shamir Adleman algorithm (RSA)

Encryption:ChaCha stream cipher and Poly1305 authenticator (CHACHA20 POLY1305)

Hash:Secure Hash Algorithm 256 (SHA256)

 

检测TLS版本命令:

curl -I -v --tlsv1 --tls-max 1.0 https://blog.redis.com.cn
curl -I -v --tlsv1.1 --tls-max 1.1 https://blog.redis.com.cn

  • -I : Show document header info only
  • -v : Verbose outputs
  • --tlsv1--tlsv1.0--tlsv1.1--tlsv1.2--tlsv1.3: Use given TLS version
  • --tls-max VERSION : Set maximum allowed TLS version

参考:

检测浏览器支持:https://ssl.haka.se/

tls 测试:https://www.cdn77.com/tls-test

ssl 测试:https://www.ssllabs.com/ssltest/index.html

https://blog.cloudflare.com/announcing-keyless-ssl-all-the-benefits-of-cloudflare-without-having-to-turn-over-your-private-ssl-keys/

https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html

https://dev.admirable.pro/ssl-optimization/

分类: nginx 标签: ,
  1. delaynomore
    2020年11月24日11:00 | #1

    阅读个技术文章还要加公众号,这是在分享技术么

  2. more@more.com
    2020年7月13日16:53 | #2
  1. 本文目前尚无任何 trackbacks 和 pingbacks.