Nginx SSL 優化備忘

原創 LJSKR 2018-11-28 13:04

參考:

https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx
https://mozilla.github.io/server-side-tls/ssl-config-generator/

其中:

  • HSTS 需要明白其含意再啓用。
  • http2 優勢明顯,儘量採用 http2 。
server {
    listen 80 default_server;
    listen [::]:80 default_server;
 
    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}
 
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
 
    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
 
 
    # modern configuration. tweak to your needs.
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;
 
    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;
 
    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;
 
    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
 
    resolver <IP DNS resolver>;
 
    ....
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

網絡運維管理七大祕籍及操作流程

針對各種網絡運維管理的難題,具有多年經驗的網絡運維管理工程師爲大家總結出了實戰祕籍,希望可以給我們日常工作帶來一定的幫助。   第一計:重中之重--關鍵業務流程    需要監測的關鍵業務流程包括:1、單位內部的關鍵業務流程。如項目管理信

broada2012 2020-07-06 07:56:27

十大網絡管理策略:將網絡管理變成自動化

        隨着網絡管理軟件和網管工具的發展,過去人工、繁雜的網絡管理工作已經逐步自動化,並且具有主動性和增值功能。使用最新的網絡管理軟件和網管工具,有助於提高網絡管理員的地位,使其成爲策略管理員,同時又減少了網絡管理的成本和複雜性

broada2012 2020-07-06 07:56:27

IT運維管理:確保無線網絡安全的四祕訣

確保無線網絡安全是每一個網絡管理員所負責的工作之一,大家都知道,對於IT專家來說進行無線網絡安全設置並不困難,但一般用戶碰到了黑客攻擊可真是犯了難,針對無線網絡安全問題,本文從基礎普及。   一、注意AP登陸密碼      首先,要保證

broada2012 2020-07-06 07:56:27

六大ITIL運維流程管理模式分析

企業IT運維管理系統的建設可以幫助企業最大限度的降低運營成本,提高運營效率。目前較爲流行的是ITIL標準。而ITIL運維流程管理模式主要有以下幾個方面。   服務檯   作爲用戶與IT部門的惟一連接點,服務檯能夠確保用戶找到幫助其解決問

broada2012 2020-07-06 07:56:27

三維模型如何實現設備運維管理平臺?

設備運維管理平臺示例描述與操作指南應用場景示例效果展示實現步驟第一步 初始化構件查詢功能第二步 初始化報警維修功能第三步 初始化管道預覽功能相關接口 示例描述與操作指南 模擬設備發生報警時系統第一時間響應,點選警報按鈕,導航至故障

盈嘉小红砖(同公众号) 2020-07-05 01:38:18

【MySQL性能分析(1)】processlist命令詳細

前言 processlist命令的輸出結果顯示了有哪些線程在運行,可以幫助識別出有問題的查詢語句,兩種方式使用這個命令。如果有SUPER權限,則可以看到全部的線程,否則,只能看到自己發起的線程(這是指,當前對應的MySQL帳戶運行

方剂各 2020-07-04 20:37:15

Git常用命令詳單

我每天使用 Git ,下面是我整理的常用 Git 命令 一、新建代碼庫 # 在當前目錄新建一個Git代碼庫 $ git init # 新建一個目錄,將其初始化爲Git代碼庫 $ git init [project-name]

方剂各 2020-07-04 20:37:15

docker創建私服

docker pull registry 拉取registry鏡像 docker run -d -v /ext/images/registry:/var/lib/registry -p 5000:5000 --name my-

guanheng68 2020-07-01 12:19:56

kubernete部署安裝(docker方式)

kubernete部署安裝(docker方式) kubernete簡介 Kubernetes是容器集羣管理系統,可以實現容器集羣的自動化部署、自動擴縮容、維護等功能。 優點: 快速部署應用 快速擴展應用 無縫對接新的應用功能 節

guanheng68 2020-07-01 12:19:54

騰訊藍鯨體系架構及設計思想

引子 最近,在運維圈裏看到觸控科技的蕭總提出的一個概念“運維2.0”,學習之後,感觸頗多,和幾年前騰訊遊戲的應用運維團隊發起的“運維轉型”戰略項目神似,那個項目在數年間幾乎重塑了“應用運維”在騰訊遊戲的定義,而在過程中帶動並承載這次轉型的

不夜De星空 2020-06-28 03:23:29

redhat/centos 6.3 搭建git/gitosis/gitweb詳細過程(2)

1. gitweb安裝     注意:redhat的iso源是沒有gitweb安裝包,但是centos的源中有,在上一篇文章中給出瞭如何讓redhat使用centos的源,那麼,只需採用如下命令即可安裝。 # yum instal

刘军卫 2020-06-27 14:35:34

Ansible安裝與配置(自動化運維管理工具)

原文鏈接:http://blog.csdn.net/xyang81/article/details/51568227 Ansible是一個簡單高效的自動化運維管理工具,用Python開發,能大批量管理N多臺機器,可以併發的在多臺

xyang0917 2020-06-26 12:57:15

Nginx緩存開啓與關閉

問題: 在網站程序調試的時候,經常會遇到瀏覽器的緩存問題導致修改過的前端代碼無效果。每次通過Ctrl+F5強制刷新後才能清掉緩存。這時如果禁用掉nginx緩存,可以減少一些小麻煩,讓瀏覽器每次到服務器去請求文件,而不是在瀏覽器中讀取緩存文

春风化作秋雨 2020-06-23 19:27:13

解決:Nginx前後端分離之多個前端的配置

1、業務場景 根據業務需求,前端代碼需要區分主業務代碼,子業務代碼這種前端拆分的情況。 2、解決方案 以相對路徑的根,進行路由。 2、配置文件 server { listen 9207;

春风化作秋雨 2020-06-23 19:27:00

支持Postgresql數據庫的xxl-job安裝部署

1、git下載 地址:https://github.com/IAMTJW/xxl-job/tree/storage-pg 2、執行腳本 tables_postgres.sql 3、修改配置:xxl-job-admin.propertie

春风化作秋雨 2020-06-23 19:26:48