Aplicații Server Tutoriale

Cum să activezi TLS 1.3. în Nginx

Transport Layer Security (TLS) 1.3 este ultima versiune de protocol Transport Layer Security (TLS), publicată un standar IETF în RFC 8446 în August 2018. Acest protocol oferă intimitate și performanță îmbunătățite în comparație cu versiunea anterioară de TLS și HTTP nesecurizat.

De la versiunea 1.13.0, Nginx a adăugat suport pentru TLS 1.3. Acum, cele mai multe distribuții Linux nu conțîn versiunile de Nginx și OpenSSL în repository-urile de software de baza, așa probabil va trebui compilezi Nginx într-un mod în care nu folosească OpenSSL 1.1.1+. Singurele distribuții Linux care oferă suport nativ pentru TLS 1.3. sunt Ubuntu 18.10, Fedora 29 și Debian 10 (care nu este încă lansat). În acest tutorial presupumem ai deja o configurație TLS funcțională și ai compilat deja Nginx fără suportul pentru OpenSSL 1.1.1+ și știi deja cum folosești Let‘s Encrypt pentru crearea unui certificat SSL sau dacă nu folosești un certificat self-signed.

Dependințe software

Pentru a activă TLS 1.3 în Nginx va trebui ai următoarele software de care depinde acest protocol:

  • Versiunea Nginx 1.13.0 sau mai curentă compilată nu folosească OpenSSL 1.1.1 sau o versiune mai curentă.
  • Un certificat TLS valid sau unul self-signed. Poți obține unul gratuit de la  Let‘s Encrypt.

Activează TLS 1.3 în Nginx

Pentru a realiza acest lucru, adaugă parametrul TLSv1.3 directivei ssl_protocols

sudo systemctl reload nginx.service

Apoi reîncarcă configurația Nginx:

sudo systemctl reload nginx.service

În ceea ce privește configurația Nginx, cam atât este de făcut. Doar această simplă schimbare și protocolul TLS 1.3 ar trebui funcționeze în parametri normali.

Cam așa ar trebui arate o configurație pentru un server minimal pentru TLS 1.3.

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;
  root /var/www/example.com/public;

  ssl_certificate /path/to/your/certificate.crt;
  ssl_certificate_key /path/to/your/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;

}

Pentru a verifică dacă serverul tău suportă TLS 1.3, poți folosi uneltele de dezvoltator a browser-ului (dev tools) sau un test de server SSLLabs. Mai jos avem screenshot-uri din Google Chrome care arată faptul TLS 1.3. este activat.

Atât trebuie făcut pentru activarea protocolului TLS 1.3. pe serverul tău Nginx.

About the author

admin

Add Comment

Click here to post a comment