टीएलएस 1.2 को नगनेक्स में कैसे सक्षम करें?


17

मैं अपने Ubuntu 12.04 सर्वर में SSL कनेक्शन के लिए TLS 1.1 और 1.2 कैसे सक्षम करूं? मैं nginx और Opensl लाइब्रेरी के निम्नलिखित संस्करण का उपयोग कर रहा हूं।

$ ./nginx -v
nginx version: nginx/1.2.3

$ openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Tue Jun  4 07:26:06 UTC 2013
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

आपको अभी तक कुछ भी मिला?
BigSack 18'13

क्या आपने इसका समाधान किया? आपके द्वारा उपयोग किया जा रहा nginx संस्करण बहुत पुराना है। आपको इस Ars Technica लेख में SSL कॉन्फ़िगरेशन उपयोगी मिल सकता है।
पॉल ६

जवाबों:


14

सबसे पहले आपको अपने एसएसएल / टीएलएस को सक्रिय करने की आवश्यकता है nginx.conf:

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.org;

    ssl_certificate /etc/ssl/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

दो listenपंक्तियाँ आपके IPv4 और IPv6 कनेक्शन में SSL को सक्षम करती हैं। यदि आपके पास कोई IPv6 नहीं है तो आप दूसरी listenपंक्ति छोड़ सकते हैं ।

मुझे लगता है कि आपके सर्वर प्रमाणपत्र में है /etc/ssl। यदि आप दूसरे रास्ते का उपयोग करते हैं, तो आप अंतिम दो पंक्तियों को बदल देंगे।

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

यह अलग-अलग टीएलएस संस्करण को सक्षम करता है। सभी वर्तमान ब्राउज़र TLS1.2 का उपयोग करने में सक्षम हैं। पुराने ब्राउज़रों के लिए मैंने एक छोटा सा हॉटो लिखा है जो सुरक्षित सेटिंग्स को सक्षम करता है

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;
ssl_prefer_server_ciphers on;

पहली पंक्ति उन सिफर को सेट करती है जो आपके nignx का उपयोग करना चाहिए। दूसरी पंक्ति सर्वर (और क्लाइंट नहीं) पक्ष पर सिफर स्वीट्स पसंद करती है। तो आप मजबूत (एर) साइफर का उपयोग कर सकते हैं।

यदि आप कर रहे हैं, अपने nginx TLS1.2 का उपयोग करना चाहिए। यदि आप चाहें, तो आप अपनी साइट को TLS1.2 हॉल ऑफ फेम में जोड़ सकते हैं और गर्व कर सकते हैं। ;)

हालाँकि सेटिंग्स को बेहतर बनाने के लिए कई तरीके हैं। मैं सुरक्षित nginx कॉन्फ़िगरेशन के लिए इस जर्मन गाइड का पालन करता हूं ।


उबंटू 12 टीएलएस 1.1 और टीएलएस 1.2 को इंटरोप कारणों से निष्क्रिय कर देता है। मुझे लगता है कि उन्होंने हाल ही में टीएलएस 1.1 को सक्षम किया है, लेकिन मेरा मानना ​​है कि टीएलएस 1.2 की अभी भी कमी है। OpenSSL डाउनलेवल संस्करण देखें 1.0.0 है, और TLS 1.2 का समर्थन नहीं करता है

1

वहाँ कई सुरक्षा सलाह है कि nginx के बाद के संस्करणों में संबोधित किया गया है। यदि आप अभी भी हैं (6 महीने की बासी पोस्ट?) इस स्थिति में, गंभीरता से उन्नयन पर विचार करें; यदि वेब सर्वर स्वयं असुरक्षित है तो टीएलएस सेटिंग्स कोई फर्क नहीं पड़ेगा। देखें http://nginx.org/en/security_advisories.html जानकारी के लिए।

यदि, किसी कारणवश आप nginx के इस संस्करण को चलाते हैं, तो यहाँ nginx (या Apache) के साथ मजबूत सिफर सुइट्स को सक्षम करने पर उपलब्ध जानकारी संभवत: मदद करेगी: https://community.qualys.com/blogs/securitybabs/2013/08/ 05 / को विन्यस्त-अपाचे-nginx और openssl के लिए आगे की गोपनीयता


0

मैं अपने Ubuntu 12.04 सर्वर में SSL कनेक्शन के लिए TLS 1.1 और 1.2 कैसे सक्षम करूं?

मेरा मानना ​​है कि तीन विकल्प हैं।

सबसे पहले, कुछ भी न करें और ओपनएसएसएल के Ubuntu 12 के संस्करण का उपयोग करें। मेरा मानना ​​है कि टीएलएस 1.1 अब समर्थित है, लेकिन आपके पास अभी भी टीएलएस 1.2 नहीं है।

दूसरा, अपने खुद के पीपीए का निर्माण और रखरखाव । कस्टम पैकेज के साथ ओवरराइड डिस्ट्रो पैकेज में ऐसा करने के लिए कुछ निर्देश हैं ? पूर्णता के लिए, Ubuntu और OpenSSL के लिए कोई मौजूदा व्यक्तिगत पैकेज अभिलेखागार नहीं हैं जो पूर्ण प्रोटोकॉल प्रदान करते हैं।

तीसरा उबंटू के बाद के संस्करण में नवीनीकृत है, जैसे उबंटू 14. मैं यह निर्धारित करने की कोशिश कर रहा हूं कि क्या उबंटू 14 उन्हें इस समय सक्षम बनाता है। देखें उबंटू 14 जो OpenSSL, और TLS प्रोटोकॉल?

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.