В современном цифровом мире безопасность вашего веб-сервера имеет первостепенное значение. Одним из важнейших аспектов безопасности сервера является отключение устаревших и уязвимых протоколов. В этом сообщении блога мы сосредоточимся на отключении TLS 1.0 на сервере NGINX. TLS 1.0 – это более старая версия протокола Transport Layer Security, имеющая известные уязвимости безопасности. Рекомендуется отключить ее, чтобы защитить сервер и его пользователей.

Метод 1: файл конфигурации NGINX

Основной способ отключения TLS 1.0 в NGINX — изменение файла конфигурации сервера. Выполните следующие действия:

Шаг 1. Найдите файл конфигурации NGINX, обычно с именем nginx.confили default.conf. Обычно он находится в каталоге /etc/nginx.

Шаг 2. Откройте файл конфигурации с помощью текстового редактора по вашему выбору.

Шаг 3. Найдите директиву ssl_protocolsв блоке server. Эта директива определяет принятые протоколы SSL/TLS.

Шаг 4. Измените директиву ssl_protocols, чтобы включить только нужные протоколы, исключая TLS 1.0. Например, обновленная директива может выглядеть так:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

Шаг 5. Сохраните файл конфигурации и выйдите из текстового редактора.

Шаг 6. Перезапустите сервер NGINX, чтобы применить изменения. Используйте следующую команду:

sudo service nginx restart

Метод 2: шифры OpenSSL

Другой подход к отключению TLS 1.0 — настройка шифров OpenSSL, используемых NGINX. Выполните следующие действия:

Шаг 1. Откройте файл конфигурации NGINX в текстовом редакторе.

Шаг 2. Найдите директиву ssl_ciphersв блоке server. Эта директива определяет доступные шифры для соединений SSL/TLS.

Шаг 3. Измените директиву ssl_ciphers, чтобы исключить шифры, поддерживающие TLS 1.0. Например, вы можете использовать параметр !TLSv1, чтобы исключить шифры TLS 1.0. Обновленная директива может выглядеть так:

ssl_ciphers HIGH:!aNULL:!MD5:!3DES:!TLSv1;

Шаг 4. Сохраните файл конфигурации и выйдите из текстового редактора.

Шаг 5. Перезапустите сервер NGINX, чтобы применить изменения.

Метод 3: сторонние модули

NGINX поддерживает различные сторонние модули, которые могут помочь в настройке TLS. Одним из таких модулей является модуль OpenSSL Dynamic Record (ODR). Используя этот модуль, вы можете отключить TLS 1.0, не изменяя файл конфигурации NGINX напрямую. Однако конкретные действия по использованию сторонних модулей зависят от самого модуля, поэтому рекомендуется обратиться к документации модуля за инструкциями.

Отключение TLS 1.0 на вашем сервере NGINX — важный шаг в повышении его безопасности. Следуя методам, изложенным в этой статье, вы сможете защитить свой сервер и его пользователей от потенциальных уязвимостей, связанных с устаревшими протоколами. Не забывайте регулярно обновлять свой сервер NGINX и будьте в курсе последних рекомендаций по обеспечению безопасности, чтобы обеспечить безопасную и надежную веб-среду.