磨米

宝塔面板如何优雅的开启TLS1.3
开门:什么是TLS1.3?引用万能乎的一篇文章,TLS1.3 VS TLS1.2,让你明白TLS1.3的强大 ,这...
扫描右侧二维码阅读全文
07
2019/01

宝塔面板如何优雅的开启TLS1.3

开门:什么是TLS1.3?引用万能乎的一篇文章,TLS1.3 VS TLS1.2,让你明白TLS1.3的强大 ,这篇专栏详细的讲解了TLS1.3的各种好处,我的总结就是一个字:香 !本文将会基于宝塔面板下,开启TLS1.3详细说明,关于其他的,后面也会说到,但是LNMP在最近的几次更新中,已支持TLS1.3了。宝塔面板的团队可能急着回家过年了吧!

开车

一定是最新版本的宝塔面板(6.8.5)一定是nginx1.15

站点有很多ssl的站点,一个一个修改站点配置文件的20行代码修改如下,(注:是所有的开启了ssl的网站!!!)

ssl_protocols TLSv1.3 TLSv1.1 TLSv1.2;

QQ截图20190107231639.png

先别急着保存,下面还要更改一个地方

TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;

QQ截图20190107232147.png

nginx部分

这样设置过后,站点就支持1.3了,如果想达到A+的评分请修改nginx的配置文件,在配置文件22加入下列代码

add_header Strict-Transport-Security "max-age=31536000";

QQ截图20190107232631.png

到这里宝塔面板的ssl1.3和A+的评分已经完成,再通过https://myssl.com 检测

QQ截图20190107232901.png

如果按照流程全部布置完成以后,竟然不是A+不支持TLS1.3,请尝试更新套件

进入宝塔的ssl目录

cd /www/server/nginx/src/openssl/

更新套件

curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-equal-1.1.1_ciphers.patch | patch -p1
curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-ignore_log_strict-sni.patch | patch -p1

再通过https://myssl.com 检测

Last modification:January 7th, 2019 at 11:36 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment