nginx對稱加密算法和非對稱加密算法nginx證書配置

對稱加密算法

對稱加密性能更好

對稱加密:
用戶端和伺服器之間的通信資料是通過對稱加密算法進行加密,對稱加密是在加密和解密的過程中使用同一個私鑰進行加密和解密,而且加密算法是公開的,是以對稱加密中的私鑰非常重要,一旦洩露,加密算法就形同虛設.      

非對稱加密算法

非對稱加密:
加密和解密過程使用不同的密鑰,一個公鑰對外公開,一個私鑰,僅在解密端持有,因為公鑰和私鑰是分開的,非對稱加密算法安全級别較高,加密密文長度有限制,适用于對少量資料進行加密,加密速度慢.      

PKI公鑰的基礎設施

證書訂閱人[使用者] ---> 登記機構訂閱證書 ---> CA收到訂閱請求,将證書發給登記機構
CA --> 證書登記機構 --> 證書訂閱者[使用者] --> 使用者将證書公鑰私鑰部署在web伺服器上 --> 使用者通路web站點 --> web站點将拿着證書和CA的OSCP伺服器主動進行對比驗證是否通過.      

證書的類型:

DV證書:  域名驗證
OV證書:  組織驗證
EV證書:  擴充驗證 [如:證書顯示 騰訊公司]      

證書對nginx的性能影響

證書是有握手時間的,無論是對稱加密算法還是非對稱加密算法都會有性能瓶頸
小檔案較多會考驗到 非對稱加密的性能 如 SA
大檔案較多會考驗到 對稱加密算法的性能 如 AES

小檔案比較多我們應該關注 優化橢圓曲線算法: 如證書加密的密碼強度是否可以降低
大檔案比較多我們應該關注  AES算法是否可以替換為其他算法,或者将密碼強度降低一些.      

證書部署時的優化

#證書的密鑰
ssl_certificate /application/nginx/ssl_nginx/1_www.chenleilei.net_bundle.crt;
ssl_certificate_key /application/nginx/ssl_nginx/2_www.chenleilei.net.key;
#會話保持時間
ssl_session_timeout 1440m;
#這是對會話進行緩存,每次新使用者通路需要重建立立會話,消耗CPU,添加緩存後可以減少CPU消耗
ssl_session_cache shared:SSL:10m;
#TLS的級别
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
#TLS證書所使用的算法,注意: 這裡的算法,排在前面會被優先使用.
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE";
#優先使用我們服務端的加密套件
ssl_prefer_server_ciphers on;