Как включить TLS 1.3 в Nginx, Cloudflare

Перед процедурой внедрения давайте посмотрим, что такое TLS 1.3, как он отличается от 1.2, история и совместимости.

Что такое TLS 1.3?

TLS (transport layer security) 1.3 представляет собой проектную рабочую версию и на основе существующих спецификаций 1.2.

Это новейшая версия протокола TLS направлена на повышение производительности и безопасности.

Давайте рассмотрим историю протокола TLS.

Протокол TLS может быть включен на веб-серверах, CDN, Load Balancers.

Совместимость браузеров TLS 1.3

1.3 не поддерживается во всех браузерах.

В настоящее время он работает только с последней версией Chrome, Firefox и Samsung Internet.

Учитывая, что он все еще находится в черновом варианте, вы можете включить 1.3 вместе со старыми версиями 1.2 и 1.1.

Включить TLS 1.3 в Nginx
TLS 1.3 поддерживается начиная с версии Nginx 1.13.
Если вы используете более старую версию, то сначала вам нужно обновиться.

Предположим, что у вас есть Nginx 1.13+

Вход на сервер Nginx
Сделайте резервную копию файла nginx.conf
Измените nginx.conf с помощью vi или вашего любимого редактора

Конфигурация по умолчанию в настройках SSL должна выглядеть так:
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
Добавьте TLSv1.3 в конец строки:
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; 
Перезапустите Nginx:
Это просто. Не так ли?

Cloudflare

Один из первых поставщиков CDN для поддержки TLS 1.3.

Cloudflare позволяет использовать его по умолчанию для всех веб-сайтов.

Однако, если вам нужно его отключить или проверить, вот как вы можете это сделать.

Войти в Cloudflare
Перейдите на вкладку Crypto
Прокрутите вниз немного, и вы увидите вариант TLS 1.3

Какие другие системы поддерживают TLS 1.3?


CDN 77 — Недавно они объявили о поддержке некоторых из своих POP (точки присутствия).
AKAMAI — AKAMAI превратилась в бета-версию по всей сети.

Как проверить сайт на использование TLS 1.3?

После того, как вы подняли веб-сервер или CDN, а затем вы хотите установить, что ваш сайт поддерживает протокол TLS 1.3.

Существует несколько способов протестировать это.

SSL Labs — введите URL-адрес HTTPS и прокрутите страницу результатов теста.
Вы можете увидеть, что все протоколы включены.
Google Chrome — если вы включили сайты в интранет, вы можете проверить его прямо из браузера Chrome.
Запустите Chrome и введите ниже в адресную строку:
 chrome://flags/#tls13-variant 
Выберите Enabled (Draft):

Это потребует перезапустить браузер.

Учитывая, что TLS 1.3 все еще находится в режиме черновика, вы можете реализовать его на своем веб-сайте, но не забудьте сохранить более старую версию.

Если включить TLS 1.0, 1.1, 1.2, клиент (браузеры) может подключаться через другие версии протокола, если они не совместимы с 1.3

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *