Добавить в корзинуПозвонить
Найти в Дзене
IT DevOps Web SEO от Алексея
290 подписчиков

Различия между TLS 1.2 и 1.3 ? Настройка безопасности TLS 1.2 в Nginx

69
3 мин
Недавно Роскомнадзор (РКН) заблокировал технологию Encrypted Client Hello (ECH), что вызвало серьезные проблемы для пользователей Cloudflare, особенно для тех, кто находится в России. В то время как Cloudflare неожиданно принудительно включил ECH для всех своих клиентов, многие ресурсы начали рекомендовать отключить поддержку TLS 1.3 в панели управления Cloudflare. Хотя они могут показаться взаимозаменяемыми, их отличительные особенности могут существенно повлиять на производительность и безопасность вашего сервера. Например, TLS 1.3 имеет улучшенный процесс рукопожатия, который ускоряет безопасные соединения. Но это только вершина айсберга. Давайте немного углубимся в технические нюансы этих двух протоколов, чтобы вы поняли разницу между TLS 1.2 и 1.3. TLS 1.2 поддерживает многочисленные наборы шифров, предоставляя различные комбинации алгоритмов шифрования, аутентификации и хеширования. Однако обилие вариантов увеличивает риск выбора менее безопасных наборов шифров, что потенциаль
Оглавление

Недавно Роскомнадзор (РКН) заблокировал технологию Encrypted Client Hello (ECH), что вызвало серьезные проблемы для пользователей Cloudflare, особенно для тех, кто находится в России.

В то время как Cloudflare неожиданно принудительно включил ECH для всех своих клиентов, многие ресурсы начали рекомендовать отключить поддержку TLS 1.3 в панели управления Cloudflare.

Но как это решение может отразиться на безопасности ваших сайтов?

Хотя они могут показаться взаимозаменяемыми, их отличительные особенности могут существенно повлиять на производительность и безопасность вашего сервера.

Например, TLS 1.3 имеет улучшенный процесс рукопожатия, который ускоряет безопасные соединения. Но это только вершина айсберга. Давайте немного углубимся в технические нюансы этих двух протоколов, чтобы вы поняли разницу между TLS 1.2 и 1.3.

Наборы шифров

TLS 1.2 поддерживает многочисленные наборы шифров, предоставляя различные комбинации алгоритмов шифрования, аутентификации и хеширования. Однако обилие вариантов увеличивает риск выбора менее безопасных наборов шифров, что потенциально подвергает коммуникацию уязвимостям.

TLS 1.3 сужает поддерживаемые наборы шифров до пяти, все они основаны на принципе аутентифицированного шифрования с ассоциированными данными (AEAD). Это упрощение направлено на повышение как безопасности, так и эффективности.

Механизм обмена ключами

TLS 1.2 использует различные методы обмена ключами, включая RSA (Rivest-Shamir-Adleman) и Diffie-Hellman. RSA подразумевает отправку сервером зашифрованного pre-master secret клиенту, в то время как Diffie-Hellman позволяет клиенту и серверу установить общий секрет по открытому каналу. Однако TLS 1.2 часто по умолчанию использует RSA для обмена ключами.

Теперь, в TLS 1.3, есть заметный сдвиг в механизме обмена ключами по умолчанию. Протокол предписывает обмен ключами Диффи-Хеллмана, в частности, вариант эллиптической кривой (ECDHE). Этот метод обеспечивает более эффективное и безопасное согласование ключей шифрования.

Почему многие остаются на TSL 1.2 ?

Одной из главных причин, по которой люди продолжают использовать TLS 1.2, является совместимость. Хотя TLS 1.3 более безопасен, не все устройства, браузеры и серверы поддерживают его.

Это означает, что если вы используете TLS 1.3, некоторые пользователи могут не иметь доступа к вашему веб-сайту или сервису, что может привести к снижению вовлеченности пользователей и потенциальной потере бизнеса.

В то же время TLS 1.2 широко используется и может быть настроен таким образом, чтобы соответствовать всем требованиям безопасности.

Настройка безопасности TLS 1.2 в Nginx

В секции server, где вы настраиваете SSL, добавьте или измените следующие параметры:

server {

listen 443 ssl;

server_name your_domain.com;

ssl_certificate /path/to/your/certificate.crt;

ssl_certificate_key /path/to/your/private.key;

# Включение TLS 1.2 и отключение других протоколов

ssl_protocols TLSv1.2;

# Настройка шифров

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384';

ssl_prefer_server_ciphers on; # Указывает, чтобы при использовании протоколов TLS серверные шифры были более приоритетны, чем клиентские.

ssl_dhparam /etc/nginx/ssl/dh4096.pem; # Сначала генерируем новый Diffie-Hellman (DHE) и подключаем его в конфиге Nginx:

cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096

# Дополнительные настройки безопасности

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

add_header X-Content-Type-Options nosniff;

add_header X-Frame-Options DENY;

add_header X-XSS-Protection "1; mode=block"; # XSS-фильтр включен, и, в случае обнаружения атаки, предотвращает обработку страницы

}

Дополнительные рекомендации

1. Используйте только безопасные шифры: Убедитесь, что используете только современные и безопасные шифры для защиты соединения.

2. Мониторинг и тестирование: Регулярно тестируйте конфигурацию SSL/TLS с помощью инструментов, таких как SSL Labs (https://www.ssllabs.com/ssltest/), чтобы убедиться, что ваш сайт защищен.

3. Обновление: Следите за обновлениями Nginx и библиотек OpenSSL для обеспечения максимальной безопасности.

Гаджеты и электроника
5,73 млн интересуются