Nginx HTTPS 配置最佳实践：SSL 证书部署、TLS 版本控制与 HSTS 启用

在当今数字化的时代，网络安全至关重要。对于网站和应用程序来说，使用 HTTPS 协议进行通信是保障数据安全和用户信任的基础。Nginx 作为一款高性能的 Web 服务器和反向代理服务器，在 HTTPS 配置方面有着出色的表现。下面就来详细探讨一下 Nginx 中 HTTPS 的配置最佳实践，包括 SSL 证书部署、TLS 版本控制与 HSTS 启用。

一、SSL 证书部署

1.1 证书类型与获取途径

SSL 证书有几种常见类型，像单域名证书就只能保护一个域名，通配符证书能保护主域名下的所有子域名，多域名证书则可以保护多个不同的域名。获取 SSL 证书的途径主要有两个，一是从受信任的证书颁发机构（CA）购买，比如 Let's Encrypt 就是免费且广泛使用的 CA；二是自己创建自签名证书，不过自签名证书在浏览器中会被标记为不安全，一般用于测试环境。

1.2 从 Let's Encrypt 获取证书

Let's Encrypt 是免费、自动化且开放的证书颁发机构，借助 Certbot 工具就能轻松获取证书。以下是在 Ubuntu 系统上获取证书的详细步骤。

首先，安装 Certbot：

# 安装 Certbot 软件包
sudo apt update
sudo apt install certbot python3-certbot-nginx

然后，获取证书：

# 使用 Certbot 获取证书，-d 后面跟需要保护的域名
sudo certbot --nginx -d example.com -d www.example.com

这里的“example.com”和“www.example.com”是要保护的域名，你可以根据实际情况修改。Certbot 会自动检测 Nginx 配置，并且在获取证书后自动更新配置文件。

1.3 自签名证书的创建

在测试环境中，自签名证书很实用。下面是创建自签名证书的步骤。

创建私钥：

# 创建一个 2048 位的 RSA 私钥
openssl genrsa -out example.key 2048

创建证书签名请求（CSR）：

# 创建 CSR，需输入相关信息
openssl req -new -key example.key -out example.csr

生成自签名证书：

# 生成有效期为 365 天的自签名证书
openssl x509 -req -in example.csr -signkey example.key -out example.crt -days 365

通过这些步骤，你就得到了一个自签名的 SSL 证书。

1.4 在 Nginx 中配置证书

获取证书后，要在 Nginx 配置文件里进行配置。打开 Nginx 的配置文件（通常在 /etc/nginx/sites-available/default），添加如下配置：

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    # 配置 SSL 证书和私钥的路径
    ssl_certificate /path/to/example.crt; 
    ssl_certificate_key /path/to/example.key; 

    # 其他配置...
    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

这里的“/path/to/example.crt”和“/path/to/example.key”要替换成你实际的证书和私钥路径。

二、TLS 版本控制

2.1 TLS 版本概述

TLS（传输层安全协议）是 SSL（安全套接层协议）的后续版本，目前常见的版本有 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3。其中，TLS 1.0 和 TLS 1.1 存在一些安全漏洞，不建议在生产环境中使用。我们应该优先选择 TLS 1.2 和 TLS 1.3。

2.2 在 Nginx 中配置 TLS 版本

在 Nginx 配置文件中添加如下配置来指定支持的 TLS 版本：

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /path/to/example.crt;
    ssl_certificate_key /path/to/example.key;

    # 配置支持的 TLS 版本
    ssl_protocols TLSv1.2 TLSv1.3; 

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

上述配置表明只支持 TLS 1.2 和 TLS 1.3 版本，这样能提高安全性，避免使用存在漏洞的旧版本。

2.3 密码套件配置

除了版本控制，还需要配置密码套件。密码套件决定了客户端和服务器间加密通信使用的算法组合。以下是一个推荐的密码套件配置示例：

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /path/to/example.crt;
    ssl_certificate_key /path/to/example.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    # 配置密码套件
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

这里选择了一些安全的密码套件，并设置服务器优先选择密码套件，以此增强安全性。

三、HSTS 启用

3.1 HSTS 简介

HSTS（HTTP 严格传输安全）是一种安全机制，它能告知浏览器只能通过 HTTPS 访问指定的网站，而不能使用 HTTP。这可以防止中间人通过 HTTP 劫持用户的请求。

3.2 在 Nginx 中启用 HSTS

在 Nginx 配置文件中添加如下配置来启用 HSTS：

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /path/to/example.crt;
    ssl_certificate_key /path/to/example.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # 启用 HSTS，max-age 表示缓存时间，includeSubDomains 表示包含子域名
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; 

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

“max-age=31536000”表示在一年内，浏览器会自动将 HTTP 请求转换为 HTTPS 请求；“includeSubDomains”表示该规则也适用于子域名。

3.3 HSTS 的注意事项

启用 HSTS 后，一旦设置错误，可能会导致网站无法访问，因为浏览器会强制使用 HTTPS。所以在启用之前，务必确保 SSL 证书配置正确，并且服务器能正常处理 HTTPS 请求。另外，HSTS 的效果是持久的，一旦浏览器缓存了 HSTS 规则，即使服务器端配置更改，浏览器在一段时间内仍会遵循原规则。

四、应用场景

4.1 电子商务网站

对于电子商务网站来说，用户会在上面输入敏感信息，如信用卡号、密码等。使用 HTTPS 能确保这些信息在传输过程中不被窃取或篡改，增强用户信任，减少交易风险。

4.2 企业内部系统

企业内部系统可能包含员工的个人信息、业务数据等敏感内容。通过配置 HTTPS，可以防止外部人员窃取这些信息，保障企业数据安全。

4.3 社交网络平台

社交网络平台涉及用户的个人隐私和社交关系，使用 HTTPS 能防止中间人攻击，保护用户的隐私和社交数据安全。

五、技术优缺点

5.1 优点

• 数据安全：HTTPS 对数据进行加密传输，能有效防止数据在传输过程中被窃取或篡改，保障用户信息安全。
• 用户信任：浏览器会在地址栏显示安全锁图标，让用户知道该网站是安全的，从而增强用户对网站的信任。
• SEO 优化：Google 等搜索引擎会优先收录使用 HTTPS 的网站，有助于提高网站的搜索引擎排名。

5.2 缺点

• 性能开销：HTTPS 需要进行加密和解密操作，会增加服务器的 CPU 负载，导致一定的性能下降。
• 证书成本：从受信任的 CA 购买 SSL 证书需要支付一定的费用，增加了运营成本。

六、注意事项

6.1 证书更新

SSL 证书都有有效期，到期后需要及时更新，否则会导致浏览器提示证书过期，影响用户访问。可以使用 Certbot 的自动续订功能来解决这个问题。

6.2 配置测试

在生产环境中部署新的 HTTPS 配置之前，要进行充分的测试，确保一切正常。可以使用工具如 SSL Labs 来测试 SSL 配置的安全性。

6.3 备份配置

对 Nginx 配置文件和 SSL 证书进行定期备份，以防意外情况导致配置丢失。

七、文章总结

在 Nginx 中进行 HTTPS 配置是保障网站和应用程序安全的重要措施。通过合理部署 SSL 证书、控制 TLS 版本和启用 HSTS，可以有效提高网站的安全性和用户信任度。在实际应用中，要根据具体的场景选择合适的证书类型，配置安全的 TLS 版本和密码套件，并注意 HSTS 的正确使用。同时，要关注证书更新、配置测试和备份等细节，确保 HTTPS 配置的稳定性和安全性。