nginx 之https

简介

HTTPS 是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信，利用SSL/TLS建立安全信道,加密数据.HTTPS使用的主要目的是提供对网站服务器的身份认证，同时包含交互数据的隐私与完整性。

HTTPS 特点:

1、内容加密: 采用混合加密技术，中间者无法直接查明文内容,加密算法一般是对称加密和非对称加密

    对称加密: RSA,DH,ECDH,ECDHEH和 DHE 
    对称加密: RC4、ChaCha20

2、验证身份: 通过证书分钟客户端访问的是自己的服务器

3、保护数据完整性: 防止传输的内容被中间人冒充或者篡改

影响

1、协议交互增加网络RTT(Round trip time)

2、加解密计算耗时

TLS 握手过程

在客户端和和服务器端开始通过TLS交换应用程序数据之前,必须协商加密隧道:客户端和服务器必须就TLS协议的版本达成共识，选择密码套件,并在必要时验证证书.

https.png

0毫秒
TLS在可靠的传输（TCP）上运行，这意味着我们必须首先完成TCP三向握手，这需要一个完整的往返。

56毫秒
有了TCP连接后，客户端将以纯文本格式发送许多规范，例如它正在运行的TLS协议的版本，受支持的密码套件列表以及它可能要使用的其他TLS选项。

84毫秒
服务器选择TLS协议版本以进行进一步的通信，从客户端提供的列表中确定密码套件，附加其证书，然后将响应发送回客户端。 （可选）服务器还可以发送对客户端证书和其他TLS扩展参数的请求。

112毫秒
假设双方都可以协商通用版本和密码，并且客户端对服务器提供的证书感到满意，则客户端将启动RSA或Diffie-Hellman密钥交换，用于为服务器建立对称密钥。随后的会议。

140毫秒
服务器处理客户端发送的密钥交换参数，通过验证MAC检查消息的完整性，然后将加密的Finished消息返回给客户端。

168毫秒
客户端使用协商的对称密钥对消息解密，验证MAC，如果一切正常，则建立隧道并可以发送应用程序数据。

正如上面的交换所说明的那样，新的TLS连接需要两次往返才能“完全握手”，这是个坏消息。但是，实际上，优化的部署可以做得更好，并提供一致的1-RTT TLS握手：

False Start是TLS协议扩展，它允许客户端和服务器在握手仅部分完成时（即，一旦发送ChangeCipherSpec和Finished消息后开始传输加密的应用程序数据，而无需等待另一端这样做）。这种优化减少了新TLS连接到一次往返的握手开销。请参阅启用TLS错误启动。

如果客户端先前已与服务器通信，则可以使用“简化的握手”，这需要一次往返，并且还允许客户端和服务器通过为安全会话重用先前协商的参数来减少CPU开销；请参阅TLS会话恢复。

以上两种优化的组合使我们能够为新访客和回访者提供一致的1-RTT TLS握手，此外，还可以基于先前协商的会话参数恢复可以节省的会话计算量。确保在部署中利用这些优化

NGINX开启HTTPS

#./configure  --prefix=/apps/svr/nginx-ssl-1.18.0    --with-pcre=../pcre-8.44 --with-zlib=../zlib-1.2.11 --with-openssl=../openssl-1.1.1g --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --add-module=../nginx-module-vts-0.1.18 --add-module=../nginx-http-concat-1.2.2 --add-module=../nginx_upstream_check_module-master --with-http_realip_module --with-http_stub_status_module --with-http_gzip_static_module


#cat www.frank.com
server {
    listen 80;
    server_name www.frank.com;
    # enforce https
    return 301 https://$server_name$request_uri;
}
 
server
  {
    listen       443 ssl ;
    server_name mall-api.baowei.net;
 
    index index.html index.php;
    root /apps/dat/web/working/mall-api.baowei.net/;
 
    #ssl                  on;
    ssl_certificate      /apps/conf/nginx/SSL/mall-api.baowei.net.pem; #根据实际的路径和文件名配置
    ssl_certificate_key   /apps/conf/nginx/SSL/mall-api.baowei.net.key; #根据实际的路径和文件名配置
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配
    ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配
    ssl_prefer_server_ciphers   on;
  
    #缓存连接凭据
    ssl_session_timeout  5m;
    ssl_session_cache   shared:SSL:20m;
     
    ssl_buffer_size 8k;
    ssl_session_tickets on;
 
    ssl_stapling on;
    ssl_stapling_verify on;
 
    resolver 235.5.5.5 235.6.6.6 valid=300s;
    resolver_timeout 10s;
 
   #启用 HSTS
   #add_header Strict-Transport-Security "max-age=86400";
    add_header X-XSS-Protection "1; mode=block" always;
 
    #error_page 404  http://www.baowei-inc.com/404.html;
    #error_page 502  http://www.baowei-inc.com/502.html;
    #error_page 500  http://www.baowei-inc.com/500.html;
 
    location ~ /_health_check  {
        allow 127.0.0.1;
        allow 10.0.0.0/8;
        allow 192.168.0.0/16;
        deny  all;
        if ($http_x_forwarded_for != "") {
             return 403;
        }
        include /apps/conf/nginx/proxy.conf;
        access_log off;
    }
 
    location ~ / {
        include /apps/conf/nginx/proxy.conf;
        if ( $uri ~* .*\.(js|css|gif|jpg|jpeg|png|bmp|swf|flv|ico)$ ) {
            expires 302400s;
        }
    }
    access_log  logs/access.log   log_access;
}