如何在Apache,Nginx和Cloudflare中启用TLS 1.3?

一步一步指南,启用最新的测试版本TLS 1.3协议

在实施过程之前,让我们了解一下什么是TLS 1.3,它与1.2有什么不同,历史和兼容性。

TLS 1.3是什么?

TLS(传输层安全)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在改进性能和安全性。

要了解更多信息,请参阅此帖子Filippo

让我们来看看TLS协议的历史。

TLS协议可以在Web服务器、CDN、负载平衡器和网络边缘设备上启用。

TLS 1.3浏览器兼容性

目前,并非所有浏览器都支持1.3。目前,它只与最新版本的Chrome,Firefox,Opera和iOS Safari一起使用。如果您想尽早实现所有浏览器的支持,那么请收藏此链接CanIUse page。考虑到它仍处于早期阶段,您可能希望在旧版本1.2和1.1的同时启用1.3。

查看如何enable it in the browser

这是Geekflare的TLS分析数据。正如您所看到的,超过70%的请求使用TLS 1.3。

在Nginx中启用TLS 1.3

TLS 1.3支持从Nginx 1.13 version开始。如果您正在运行旧版本,则首先需要升级。

我假设您拥有Nginx 1.13+

  • 登录到Nginx服务器
  • 备份nginx.conf文件
  • 使用vi或您喜欢的编辑器修改nginx.conf

SSL设置下的默认配置应如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  • 在行末添加TLSv1.3,使其如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

注意:上述配置将允许TLS 1/1.1/1.2/1.3。如果要启用安全的TLS 1.2/1.3,则配置应如下所示。

ssl_protocols TLSv1.2 TLSv1.3;
  • 重启Nginx
service nginx restart

很简单,不是吗?

在Apache中启用TLS 1.3

从Apache HTTP 2.4.38开始,您可以使用TLS 1.3。如果您仍在使用旧版本,则首先要考虑升级。

配置很简单,类似于启用TLS 1.2或1.1协议的方法。

让我们来看看…

  • 登录到Apache HTTP服务器并备份ssl.conf文件或您的SSL配置位置
  • 找到SSLProtocol行并在行末添加+TLSv1.3

例如,以下内容将允许TLS 1.2和TLS 1.3

SSLProtocol -all +TLSv1.2 +TLSv1.3
  • 保存文件并重新启动Apache HTTP

Cloudflare

作为首个实施TLS 1.3支持的CDN提供商之一,Cloudflare默认为所有网站启用它。

然而,如果您需要禁用或检查,则可以按照以下步骤操作。

  • 登录到Cloudflare
  • 转到SSL/TLS选项卡>>边缘证书
  • 向下滚动一点,您将看到TLS 1.3选项

还有哪些平台支持TLS 1.3?

我知道以下CDN。

  • CDN 77 – 最近,他们宣布从一些POP(点)中支持。
  • AKAMAI – AKAMAI已在整个网络上转为测试版。

如何验证站点是否正在使用TLS 1.3?

一旦您通过Web服务器或CDN实施了TLS 1.3协议,接下来,您要确保您的网站正在使用TLS 1.3协议进行握手。

有多种测试方法。

Geekflare TLS Test – 快速找出支持的TLS版本。

SSL Labs – 输入您的HTTPS URL并在测试结果页面向下滚动。

您将看到启用的所有协议。

Google Chrome – 如果您正在启用内部网站,则可以直接从Chrome浏览器进行测试。

  • 启动Chrome
  • 打开开发者工具
  • 转到安全选项卡
  • 访问HTTPS URL
  • 在左侧,选择主要来源以查看协议

就是这样!

考虑到TLS 1.3仍然是新的,您可以在网站上实施它,但不要忘记保持较旧版本的启用。启用TLS 1.1、1.2将确保客户端(浏览器)可以通过其他协议版本进行连接,如果它们与1.3不兼容

我希望这给您提供了一个关于实施最新的TLS协议以提供更好的website security的想法。

类似文章