使用宝塔面板开启TLSv1.3

前言

本文采用的环境为宝塔管理面板5.9,CentOS7.5,Nginx1.15。

必须得是Nginx1.15,经本人测试1.12与1.8均无法开启TLSv1.3

 

获取SSL证书

目前免费的SSL证书有很多,国内的主要有阿里云,腾讯云,七牛云等都可以申请一年期的免费DV证书,这里就不多说。

另外,再此安利一个可以一件申请Let’s Encrypt 与 TrustAsia CA 的免费 HTTPS 证书网站:FreeSSL ,申请比较方便。

今天发现了另一个可以免费申请Comodo证书的方法,通过GoGetSSL来申请,该方法将在改天更新,已更新,点此查看

目前仅发现Let’s Encrypt 支持免费多域名通配符证书(*.example.com)申请,如有其他还请告知。

当然,你也可以使用宝塔自带的SSL申请程序,不过我用了几次,总是出现阿里云DNS API无法保存的问题,就放弃了。

 

SSL部署

如下图所示,在左侧输入密钥(private.key),右侧输入完整证书(full_chain.pem),点击保存就可,有需要的话还可以勾上强制HTTPS。

 

OpenSSL版本

更新Nginx至最新版本1.15.6宝塔版本6.5,此时Openssl已被更新至Openssl 1.1.1正式版。

 

升级curl(以下代码来自Sagit

添加一个新的repo

vim /etc/yum.repos.d/city-fan.repo

在里面添加内容

[CityFan]
name=City Fan Repo
baseurl=http://nervion.us.es/city-fan/yum-repo/rhel$releasever/$basearch/
enabled=1
gpgcheck=0

升级

yum clean all
yum install libcurl

 

服务端配置

如下图所示,

ssl_protocols后面加TLSv1.3,

(强迫症选项)可以选择删除TLSv1,因为TLSv1不合PCI DSS规范。

ssl_ciphers后面写

TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

(强迫症选项)上面的加密套件使用MySSL检测的话会像下图一样会有weak项,

若是像我这样有强迫症可以选择下面的加密套件,对网站的访问几乎没有影响

TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;

下图为修改完后效果,

修改完成后保存退出即可。

 

浏览器配置

当然,TLSv1.3还没有被主流浏览器默认启用,我用的Chrome69正式版在flag里开启TLS1.3(Draft 28)仍无法进行此处的TLSv1.3连接,Chromium在flag里开启TLSv1.3(Final)也可以以TLSv1.3进行此处的连接。

Chrome正式版已更新到70,可以在flags里面开启TLS1.3(Final)了。

开启办法:用Chrome浏览器打开 chrome://flags 搜索TLS即可找到选项。

参考文章

宝塔手动升级Nginx,开启TLS1.3 final

本文采用的SSL/TLS安全评估报告来自MySSL,可进入MySSL官网来了解本站HTTPS的安全性。

评论

  1. 夏目
    Macintosh Chrome
    5月前
    2020-4-29 14:42:26

    开了TLSv1.3之后速度提升有一点明显.

    • Ratodo 博主
      Windows Chrome
      5月前
      2020-4-29 17:46:46

      是的,使用TLSV1.3配合ECC签名的证书能大幅缩短因为使用https而增加的时间

  2. 灰常记忆
    Android Chrome
    2年前
    2018-12-04 14:44:20

    freessl申请的证书可以自动续期吗?

    • Ratodo 博主
      Windows Chrome
      2年前
      2018-12-04 14:46:41

      好像是不可以的,但是他们会在到期前给你发邮件提醒你更换。

  3. Sagit
    Android Chrome
    2年前
    2018-11-14 22:12:07

    我是sagit,那个openssl现在应该有更新了,因为当时我用的是pre9也就是开发版,当时TLS1.3是Final,也就是最后一版的开发,现在已经正式版了。另外,可以友链。因为我没开邮件,只能跑过来了。。。
    地址https://www.cjbase.cn
    简介:Harder,harder
    头像:https://www.cjbase.cn/logo.jpg

发送评论 编辑评论


|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇