如何在Apache,Nginx和Cloudflare中启用TLS 1.3?
一步一步指南,启用最新的测试版本TLS 1.3协议
在实施过程之前,让我们了解一下什么是TLS 1.3,它与1.2有什么不同,历史和兼容性。
TLS 1.3是什么?
TLS(传输层安全)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在改进性能和安全性。
要了解更多信息,请参阅此帖子Filippo。
让我们来看看TLS协议的历史。
TLS协议可以在Web服务器、CDN、负载平衡器和网络边缘设备上启用。
TLS 1.3浏览器兼容性
目前,并非所有浏览器都支持1.3。目前,它只与最新版本的Chrome,Firefox,Opera和iOS Safari一起使用。如果您想尽早实现所有浏览器的支持,那么请收藏此链接CanIUse page。考虑到它仍处于早期阶段,您可能希望在旧版本1.2和1.1的同时启用1.3。
这是Geekflare的TLS分析数据。正如您所看到的,超过70%的请求使用TLS 1.3。
在Nginx中启用TLS 1.3
TLS 1.3支持从Nginx 1.13 version开始。如果您正在运行旧版本,则首先需要升级。
我假设您拥有Nginx 1.13+
- 登录到Nginx服务器
- 备份
nginx.conf文件 - 使用
vi或您喜欢的编辑器修改nginx.conf
SSL设置下的默认配置应如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;- 在行末添加
TLSv1.3,使其如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;注意:上述配置将允许TLS 1/1.1/1.2/1.3。如果要启用安全的TLS 1.2/1.3,则配置应如下所示。
ssl_protocols TLSv1.2 TLSv1.3;- 重启Nginx
service nginx restart很简单,不是吗?
在Apache中启用TLS 1.3
从Apache HTTP 2.4.38开始,您可以使用TLS 1.3。如果您仍在使用旧版本,则首先要考虑升级。
配置很简单,类似于启用TLS 1.2或1.1协议的方法。
让我们来看看…
- 登录到Apache HTTP服务器并备份
ssl.conf文件或您的SSL配置位置 - 找到
SSLProtocol行并在行末添加+TLSv1.3
例如,以下内容将允许TLS 1.2和TLS 1.3
SSLProtocol -all +TLSv1.2 +TLSv1.3- 保存文件并重新启动Apache HTTP
Cloudflare
作为首个实施TLS 1.3支持的CDN提供商之一,Cloudflare默认为所有网站启用它。
然而,如果您需要禁用或检查,则可以按照以下步骤操作。
- 登录到Cloudflare
- 转到SSL/TLS选项卡>>边缘证书
- 向下滚动一点,您将看到TLS 1.3选项
还有哪些平台支持TLS 1.3?
我知道以下CDN。
如何验证站点是否正在使用TLS 1.3?
一旦您通过Web服务器或CDN实施了TLS 1.3协议,接下来,您要确保您的网站正在使用TLS 1.3协议进行握手。
有多种测试方法。
Geekflare TLS Test – 快速找出支持的TLS版本。
SSL Labs – 输入您的HTTPS URL并在测试结果页面向下滚动。
您将看到启用的所有协议。
Google Chrome – 如果您正在启用内部网站,则可以直接从Chrome浏览器进行测试。
- 启动Chrome
- 打开开发者工具
- 转到安全选项卡
- 访问HTTPS URL
- 在左侧,选择主要来源以查看协议
就是这样!
考虑到TLS 1.3仍然是新的,您可以在网站上实施它,但不要忘记保持较旧版本的启用。启用TLS 1.1、1.2将确保客户端(浏览器)可以通过其他协议版本进行连接,如果它们与1.3不兼容
我希望这给您提供了一个关于实施最新的TLS协议以提供更好的website security的想法。
