SEARCH

LNMP1.5升级支持TLS 1.3 (draft 28),Nginx启用TLS 1.3

2019年01月05日

截止到现在 TLS 1.3 协议仍然处于草案阶段,最新的 RFC 文档是 draft 28,对于大型系统来说,目前并不建议部署,当然对于个人网站来说,可以部署 TLS 1.3 版本 。


最近TLS 1.3 相对于之前的版本,主要有两大优势:Enhanced security: 安全性增强 ,Improved speed:速度提升。


Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。


要想让LNMP1.5正式版提前支持TLS 1.3,我们需要升级一下Nginx, OpenSSL,目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,而 OpenSSL 1.1.1 版本支持 TLS 1.3 版本,最新的 OpenSSL 1.1.1-pre5 支持 TLS 1.3 draft 26。


修改 lnmp1.5 脚本文件:

修改 \lnmp1.5\include\version.sh 文件


将 Openssl_Ver='openssl-1.0.2o' 修改为:Openssl_Ver='openssl-1.1.1a'


修改 \lnmp1.5\lnmp.conf 文件


将 Nginx_Modules_Options='' 改为:Nginx_Modules_Options='--with-openssl-opt=enable-weak-ssl-ciphers'


enable-weak-ssl-ciphers 作用是让 OpenSSL 继续支持 3DES 等不安全 Cipher Suite,如果你打算继续支持 IE8,才需要加上这个选项;若不需要支持 XP IE8 访问可忽略此处修改。


注意,升级有风险,最好先快照备份。


进入 lnmp1.5 目录,执行命令:


cd lnmp1.5

#进入lnmp1.5 目录

./upgrade.sh nginx
#升级nginx

1.15.7
#输入版本号

nginx -V
#升级好查看版本


修改nginx.conf文件


ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

#推荐关闭TLSv1.0

ssl_ciphers  TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;

#套件


LNMP1.5升级支持TLS 1.3


搞定,网小编友情提示新手请记得快照或者备份好再去尝试,出错概不负责!

联系地址

大同城区西环路168号

融网建站2017年创立于大同

以企业网站建设开发为核心业务

公众号

微信公众号

小程序

小程序