Ubuntu20.04解决Nginx1.18.0不支持tls1.0/tls1.1

Ubuntu20.04解决Nginx1.18.0不支持tls1.0/tls1.1

TLS

TLS全称:Transport Layer Security——安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。较低的层为TLS记录协议,位于某个可靠的传输协议(如TCP)上面。

TLS的最大优势在于:TLS是独立于应用协议。高层协议可以透明地分布在TLS协议上面。

image

TLSv1.0

TLSv1.0是于1996年发布的老版本协议,使用的是弱加密算法和系统。比如SHA-1和MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响。

建议生产环境使用TLS的高版本协议,避免遭受漏洞攻击等,如TLSv1.2。

问题

在ubuntu 20.04下配置nginx ssl时不支持tls1.0/1.1,是因为ubuntu 20.04/openssl 1.1.1默认禁用了不安全的tls协议,可以修改openssl配置文件开启。

启用TLSv1.0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# openssl.cnf首部添加
sed -i '1i openssl_conf = default_conf' /etc/ssl/openssl.cnf

# openssl.cnf尾部添加
cat >> /etc/ssl/openssl.cnf << EOF
[default_conf]
ssl_conf = ssl_sect
 
[ssl_sect]
system_default = system_default_sect
 
[system_default_sect]
MinProtocol = TLSv1
CipherString = DEFAULT:@SECLEVEL=1
EOF

# 使用openssl测试是否支持tls1.0和1.1
openssl s_client -connect www.haiyun.me:443 -tls1_1
openssl s_client -connect www.haiyun.me:443 -tls1

# 重启nginx
service nginx restart

# 如果还没有生效,检查nginx的ssl_protocols和ssl_ciphers配置
ssl_protocols	TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers	ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers	on;

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

徘徊在原子与字节的边缘<br><br>将更好的自己呈现给世界<br><br><br><br>修心至要,事上磨练<br><br>一蓑衣,一壶酒,一曲长歌,一剑天涯<br><br>见自己,见天地,见众生<br><br>