重识Nginx - 12 SSL/TLS 浅析

Posted 小小工匠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了重识Nginx - 12 SSL/TLS 浅析相关的知识,希望对你有一定的参考价值。

文章目录


TLS/SSL的发展

SSL/TLS的协议原理

网络通讯协议关系图_2020版.pdf

SSL/TLS协议是一个分层协议,本身可以分为上下两层:

  • 下层为TLS记录层协议(record layer protocal)
  • 上层为TLS握手层协议(handshake layer protocal)

在RFC4346中也这样分类,不过上层协议不只是握手协议, 也包括应用层数据、告警协议、密码变更协议,以上四种统称之为TLS Handshake Protocal。

Record层是SSL/TLS的基础封装协议,所有的TLS交互报文都需要通过TLS Record 层进行封装。

无论应用层数据还是TLS握手协议,都经过Record Layer进行封装。解析时通过ContentType字段进行区分。

SSL/TLS协议通过握手协议进行参数协商。协商的参数有:采用的加密算法、认证算法、摘要算法、密钥配送算法等等。通过握手协议,通信双方协商出相同的加密套件和密钥信息,后面便可以使用协商出的结果对双方的交互报文进行加密,从而实现安全可靠的信息传递。

TLS 安全密码套件

TLS握手过程

SSL/TLS使用证书来实现对数据的加密传输以及身份认证。

导致握手失败的一些原因

  • 两边协议版本不兼容
  • 两边加密算法无匹配项

如何优雅处理HTTPS中的证书问题

SSL的认证方式

SSL的认证方式有3种:

  • 单向认证。客户端认证服务器。
  • 双向认证。客户端认证服务器、服务器认证客户端。
  • 匿名认证。不做任何身份校验。SSL反对使用该模式。

单向认证和双向认证相比,只是不需要客户端上传证书,其他没有区别。

应用场景

目前SSL/TLS应用最多的场景便是:

  • 与HTTP结合组成HTTPS。(使用最多的场景)
  • 除此之外还有可以保护SMTPs、POP3s等。

SSL/TLS发展历史和SSLv3.0协议详解

配置nginx

server
  listen 443;
  server_name artisan.com;
  ssl on;
  ssl_certificate C:\\\\artisan.crt;
  ssl_certificate_key C:\\\\artisan.key;
  ssl_protocols SSLv3;
 
  location / 
    root html;
    index index.html;

配置对应hosts (win: C:\\WINDOWS\\system32\\drivers\\etc\\hosts)

ipxxxx	artisan.com

访问 https://artisan.com

以上是关于重识Nginx - 12 SSL/TLS 浅析的主要内容,如果未能解决你的问题,请参考以下文章

重识Nginx - 16 Nginx reload流程浅析

重识Nginx - 16 Nginx reload流程浅析

SSL/TLS深度解析--在 Nginx 上部署 TLS

SSL/TLS深度解析--在 Nginx上配置 HSTSCSP 与其他

SSL基础知识及Nginx/Tomcat配置SSL

HTTPS原理浅析