Hướng dẫn kích hoạt TLS 1.3 trên máy chủ Nginx

Transport Layer Security ( TLS) 1.3 là phiên bản mới nhất của giao thức TLS (Transport Layer Security), được xuất bản dưới dạng tiêu chuẩn IETF trong  RFC 8446  vào tháng 8 năm 2018 . Giao thức TLS 1.3 cung cấp các cải tiến về quyền riêng tư và hiệu suất so với các phiên bản trước của TLS và HTTP không bảo mật.

Kể từ phiên bản 1.13.0, Nginx đã được thêm hỗ trợ cho TLS 1.3. Hiện tại, hầu hết các bản phân phối Linux không chứa các phiên bản bắt buộc của Nginx và OpenSSL trong kho phần mềm mặc định của nó, vì vậy bạn có thể sẽ cần phải tự biên dịch Nginx với OpenSSL 1.1.1+. Các bản phân phối Linux duy nhất có hỗ trợ riêng cho TLS 1.3 là Ubuntu 18.10, Fedora 29 và Debian 10 ( chưa được phát hành cho đến ngày hôm nay ). Nếu bạn cần một hướng dẫn về cách biên dịch Nginx từ nguồn, bạn có thể làm theo hướng dẫn này . Trong hướng dẫn này,  tôi sẽ giả sử rằng bạn đã có cấu hình TLS hoạt động và bạn đã biên dịch Nginx với OpenSSL 1.1.1+ bằng cách làm theo hướng dẫn được liên kết của tôi và bạn biết cách sử dụng Let Encrypt hoặc bạn biết cách phát hành Giấy chứng nhận tự ký.

Yêu cầu

Để bật TLS 1.3 trong Nginx, bạn sẽ cần phải thực hiện các yêu cầu sau:

  • Phiên bản Nginx hoặc cao hơn  được xây dựng so với OpenSSL 1.1.1 trở lên . 1.13.0
  • Chứng chỉ TLS hợp lệ hoặc chứng chỉ tự ký. Bạn có thể nhận được một cái miễn phí từ Let Encrypt.

Kích hoạt TLS 1.3 trong Nginx

Để kích hoạt TLS 1.3 trong Nginx, chỉ cần  thêm TLSv1.3  tham số để các  ssl_protocols chỉ thị .

ssl_protocols TLSv1.2 TLSv1.3;

Và tải lại cấu hình Nginx của bạn:

sudo systemctl reload nginx.service

Đó là tất cả những gì phải làm khi nói đến việc cấu hình Nginx. Chỉ cần một thay đổi đơn giản và TLS 1.3 sẽ hoạt động.

Đây là cấu hình máy chủ ảo tối thiểu cho TLS 1.3 có thể trông giống như thế này:

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;
  root /var/www/example.com/public;

  ssl_certificate /path/to/your/certificate.crt;
  ssl_certificate_key /path/to/your/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;

}

Để kiểm tra xem máy chủ của bạn có hỗ trợ TLS 1.3 hay không, bạn có thể sử dụng các công cụ phát triển trình duyệt hoặc kiểm tra máy chủ SSLLabs. Dưới đây là các ảnh chụp màn hình từ trình duyệt Google Chrome hiển thị TLS 1.3 đang hoạt động.

Và đó là tất cả để kích hoạt TLS 1.3 trên máy chủ Nginx của bạn.

PS. Nếu bạn thích bài viết cách kích hoạt TLS 1.3 trên máy chủ Nginx, hãy chia sẻ nó với bạn bè của bạn trên các mạng xã hội bằng cách sử dụng các nút bên trái hoặc đơn giản là để lại câu trả lời dưới đây. Cảm ơn.

Facebook Comments

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *