这样安装后openssl会被安装到/usr/local/ssl/目录下,如无特殊必要,就不要想方设法覆盖系统本身的openssl,否则可能会造成openssh连不上,那就麻烦大了。 nginx的编译参数也要相应修改: ./configure --prefix=/home/nginx --with-md5=/usr/lib --with-sha1=/usr/lib --with-cc-opt="-I /usr/include/pcre...
1. 在实际测试中发现,在低版本的nginx(1.17版本或者小于1.17版本)虽然两个配置都在server 块内,ssl_protocols 却属于全局配置(http配置),而 ssl_ciphers 却针对特定的虚拟主机(server配置)起作用, 如果server内配置了 ssl_protocols,那么nginx还是会用 全局配置 的覆盖server块的 配置,并且在全局配置和server都配置...
1、静态只读。当初始化生成hash表结构后,是不能动态修改这个hash表结构的内容。 2、将内存利用最大...
listen 443; server_name localhost; ssl on; ssl_certificate sslkey/wosign.com.crt; #(证书公钥) ssl_certificate_key sslkey/wosign.com.key; #(证书私钥) ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:...
另外,我在ssl_ciphers最开始加上了CHACHA20,这是因为我的 Nginx 支持了 CHACHA20_POLY1305 加密算法,这是由 Google 开发的新一代加密方式,它有两方面优势:更好的安全性和更好的性能(尤其是在移动和可穿戴设备上)。下面有一张移动平台上它与 AES-GCM 的加密速度对比图(via): ...
#手动启用cipher列表 ssl_prefer_server_cipherson;#preferalistofcipherstopreventoldandslowciphers ssl_ciphers'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; 启用OCSP Stapling 在国内这可能是对使用 Let's Encrypt 证书的服务或网站影响最大的延迟优化了。如果不启用 OCSP Stapling 的话,在用户连接你...
ssl_prefer_server_ciphers on 但是需要先给OpenSSL打个patch,网址如下: https://github.com/cloudflare/sslconfig/blob/master/patches/openssl__1.1.0_chacha20_poly1305.patch,详情如下 如果不想打patch,请用以下配置: ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ...
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; 如果不打算继续支持 IE8,或者一些合规的要求,可以去掉TLSv1。 然后我们再修改对应的加密算法,加入TLS1.3引入的新算法: ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS...
ssl_ciphers'EECDH+AESGCMAES256+EECDH:AES256+EDH'; 启用OCSP Stapling 在国内这可能是对使用 Let's Encrypt 证书的服务或网站影响最大的延迟优化了。如果不启用 OCSP Stapling 的话,在用户连接你的服务器的时候,有时候需要去验证证书。而因为一些不可知的原因(这个就不说穿了)Let's Encrypt 的验证服务器并...
ssl_certificate_key /usr/local/nginx/conf/server.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_ciphers ALL:!kEDH!ADH:RC4+RSA:+HIGH:+EXP; ssl_prefer_server_cipherson; ###ssl settings end … 2、性能比较: 通过https访问Nginx一般会比http访问慢30%(https方式访问主要是...