এনগিনেক্সে কীভাবে টিএলএস 1.2 সক্ষম করবেন?

আমার উবুন্টু 12.04 সার্ভারে SSL সংযোগের জন্য আমি কীভাবে টিএলএস 1.1 এবং 1.2 সক্ষম করব? আমি নীজিনেক্স এবং ওপেনএসএল লাইব্রেরির নিম্নলিখিত সংস্করণটি ব্যবহার করছি।

$ ./nginx -v
nginx version: nginx/1.2.3

$ openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Tue Jun  4 07:26:06 UTC 2013
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

প্রথমে আপনার এসএসএল / টিএলএস সক্রিয় করতে হবে nginx.conf:

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.org;

    ssl_certificate /etc/ssl/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

দুটি listenলাইন আপনার আইপিভি 4 এবং আইপিভি 6 সংযোগে এসএসএল সক্ষম করে। আপনার যদি আইপিভি 6 না থাকে তবে আপনি দ্বিতীয় listenলাইনটি ছেড়ে দিতে পারেন ।

আমি ধরে নিয়েছি যে আপনার সার্ভার শংসাপত্রটি রয়েছে /etc/ssl। আপনি যদি অন্য পথ ব্যবহার করেন তবে আপনি শেষ দুটি লাইন পরিবর্তন করবেন।

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

এটি বিভিন্ন টিএলএস সংস্করণ সক্ষম করে। সমস্ত বর্তমান ব্রাউজারগুলি টিএলএস 1.2 ব্যবহার করতে সক্ষম হয়। পুরানো ব্রাউজারগুলির জন্য আমি সুরক্ষার সেটিংস সক্ষম করার জন্য একটি ছোট্ট লিখেছি ।

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA;
ssl_prefer_server_ciphers on;

প্রথম লাইনটি সিফারস সেট করে যা আপনার নিগেক্স ব্যবহার করা উচিত। দ্বিতীয় লাইনটি সার্ভারে (এবং ক্লায়েন্ট নয়) সিফার স্যুটগুলি পছন্দ করে। সুতরাং আপনি শক্তিশালী (এর) সাইফার ব্যবহার করতে পারেন।

আপনি যদি সম্পন্ন হয়ে থাকেন তবে আপনার এনজিঙ্ক্স টিএলএস 1.2 ব্যবহার করা উচিত। আপনি যদি চান, আপনি নিজের সাইট টি টিএলএস 1.2 খ্যাতির হলের সাথে যুক্ত করতে পারেন এবং গর্বিত হতে পারেন। ;)

তবে সেটিংস উন্নত করার জন্য বেশ কয়েকটি পদ্ধতি রয়েছে। সুরক্ষিত এনগিনেক্স কনফিগারেশনের জন্য আমি এই জার্মান গাইডটি অনুসরণ করি ।

এনজিএনএক্সের পরবর্তী সংস্করণগুলিতে সম্বোধন করা হয়েছে এমন অনেকগুলি সুরক্ষা পরামর্শ রয়েছে। আপনি যদি এখনও এই পরিস্থিতিতে (6 মাসের বাসি পোস্ট?) থাকেন তবে আপগ্রেড করার জন্য গুরুত্ব সহকারে বিবেচনা করুন; ওয়েব সার্ভার নিজেই নিরাপত্তাহীন কিনা তা টিএলএস সেটিংসের কোনও বিষয় নয়। বিস্তারিত জানার জন্য http://nginx.org/en/security_advisories.html দেখুন ।

যদি কোনও কারণে আপনাকে এই এনজিএনএক্সের সংস্করণটি চালানো আবশ্যক, তবে এখানে এনজিনেক্স (বা অ্যাপাচি) দিয়ে শক্তিশালী সিফার স্যুটগুলি সক্ষম করার জন্য উপলব্ধ তথ্য সম্ভবত সহায়তা করবে: https://commune.qualys.com/blogs/securitylabs/2013/08/ 05 / কনফিগার-Apache-nginx-এবং-OpenSSL-জন্য-এগিয়ে-নির্জনতা

আমার উবুন্টু 12.04 সার্ভারে SSL সংযোগের জন্য আমি কীভাবে টিএলএস 1.1 এবং 1.2 সক্ষম করব?

আমি বিশ্বাস করি তিনটি পছন্দ আছে।

প্রথমে কিছু না করে ওবুন্টু 12 এর ওপেনএসএসএল সংস্করণ ব্যবহার করুন। আমি বিশ্বাস করি টিএলএস 1.1 এখন সমর্থিত, তবে আপনার এখনও টিএলএস 1.2 নেই।

দ্বিতীয়ত, আপনার নিজের পিপিএ তৈরি এবং রক্ষণাবেক্ষণ করুন । কাস্টম প্যাকেজ সহ ওভাররাইড ডিস্ট্রো প্যাকেজ এ করার জন্য কিছু নির্দেশাবলী রয়েছে ? সম্পূর্ণতার জন্য, উবুন্টু এবং ওপেনএসএসএল-এর জন্য কোনও বিদ্যমান ব্যক্তিগত প্যাকেজ সংরক্ষণাগার নেই যা পুরো প্রোটোকল সরবরাহ করে।

তৃতীয়টি উবুন্টু পরবর্তী সংস্করণে উবুন্টু 14 এর মতো আপগ্রেড। দেখুন উবুন্টু 14, দ্বারা OpenSSL, এবং TLS প্রোটোকল? ।