本文概述
启用最新和测试TLS版本协议1.3的分步指南
在实施过程之前, 让我们先了解一下TLS 1.3, 它与1.2的区别, 历史记录和兼容性。
什么是TLS 1.3?
TLS(传输层安全性)1.3基于现有的1.2规范。这是最新的TLS版本协议, 旨在提高性能和安全性。
要了解更多信息, 请参阅Filippo的这篇文章。
让我们看一下TLS协议的历史。
可以在Web服务器, CDN, 负载均衡器上启用TLS协议。
TLS 1.3浏览器兼容性
并非所有浏览器都支持1.3。目前, 它仅适用于最新版本的Chrome, Firefox, Opera和iOS Safari。如果你希望尽快支持所有浏览器, 请将该CanIUse页面添加为书签。考虑到它仍处于早期阶段, 你可能要同时启用1.3和旧版本1.2和1.1。了解如何在浏览器中启用。
这是Geekflare的TLS分析。如你所见, 超过TLS 1.3的请求超过70%。
在Nginx中启用TLS 1.3
从Nginx 1.13版本开始支持TLS 1.3。如果你运行的是旧版本, 则首先必须进行升级。
我假设你有Nginx 1.13+
- 登录到Nginx服务器
- 备份nginx.conf文件
- 使用vi或你喜欢的编辑器修改nginx.conf
SSL设置下的默认配置应如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- 在行末添加TLSv1.3, 因此如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
注意:以上配置将允许TLS 1 / 1.1 / 1.2 / 1.3。如果要启用一个安全的TLS 1.2 / 1.3, 则你的配置应如下所示。
ssl_protocols TLSv1.2 TLSv1.3;
- 重新启动Nginx
这简单。是不是
在Apache中启用TLS 1.3
从Apache HTTP 2.4.38开始, 你可以利用TLS 1.3。如果你仍在使用旧版本, 则必须先考虑对其进行升级。
该配置很容易, 并且与启用TLS 1.2或1.1协议的方式类似。
让我们来看看…
- 登录到Apache HTTP服务器并获取备份或ssl.conf文件, 或者在其中进行SSL配置的位置
- 找到SSLProtocol行, 并在行末添加+ TLSv1.3
例如:以下将允许TLS 1.2和TLS 1.3
SSLProtocol -all +TLSv1.2 +TLSv1.3
- 保存文件并重新启动Apache HTTP
Geekflare
首批实施TLS 1.3支持的CDN提供商之一。默认情况下, Cloudflare会为所有网站启用它。
但是, 如果需要禁用或检查, 请按以下步骤进行。
- 登录到Cloudflare
- 转到加密选项卡
- 向下滚动一点, 你将看到TLS 1.3选项
还有哪些平台支持TLS 1.3?
我知道以下CDN。
- CDN 77 –最近, 他们宣布支持其某些POP(服务点)。
- AKAMAI – AKAMAI已在整个网络上启用Beta版。
如何验证站点正在使用TLS 1.3?
通过网络服务器或CDN实施之后, 接下来, 你要确保你的网站通过TLS 1.3协议进行握手。
有多种测试方法。
Geekflare TLS测试–快速找出支持的TLS版本。
SSL实验室–输入你的HTTPS URL并在测试结果页面上向下滚动。
你将看到启用了所有协议的内容。
Google Chrome –如果要在Intranet网站上启用, 则可以直接从Chrome浏览器进行测试。
- 启动Chrome
- 打开开发人员工具
- 转到安全标签
- 访问HTTPS URL
- 在左侧, 选择主要来源以查看协议
然后你去了!
考虑到TLS 1.3仍然是新的, 你可以在你的网站上实施, 但不要忘记启用旧版本。启用TLS 1.1、1.2可以确保客户端(浏览器)在与1.3版本不兼容时可以通过其他协议版本进行连接
我希望这能为你提供有关实施最新TLS协议的想法。