TLS 1.3 是一个全新的 TLS 加密协议,相比 TLS 1.2 ,它既能提高各地互联网用户的访问速度,又能增强安全性。TLS 1.3 通过移除对老旧破损的密码协议的支持,来提高性能、效率和安全性,例如:
模式密码
散列函数
各种 Diffie-Hellman 组
RSA 密钥传输
RC4 流密码
出口密码
它还通过简化 TLS 握手来提高速度,使其只需要一次往返,而不是之前版本中的两次。通过简化握手,可以减少延迟并提高性能。
那么TLS 1.3 该如何开启呢?前提是我们已经部署了SSL证书,服务器为Centos7.X系统,服务器环境为宝塔。WEB软件为Nginx1.15以上(必须编译安装,有以前安装宝塔有可能1.15配置好ssl1.3检测依然不是)。
将下面的代码复制到Nginx配置文件的13行、十四行,替换原来的代码
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH +aRSA+AES256:!MD5;
填好后保存,重启Nginx。我们需要测试一下,打开亚洲诚信或ssllabs进行测试,结果如下图:
没有开启TLSv1.3的测试结果
开启TLSv1.3的测试结果
好像我们还没有到A+等级,别着急,将以下代码粘贴在Nginx的22行,重启Nginx。
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
再检测一次看看,是不是满分了呢!
网友评论