Nginx打开CHACHA20_POLY1305支持需要替换Nginx的OpenSSL库为BoringSSL或LibreSSL
具体实现替换方法请参考
Nginx替换OpenSSL为LibreSSL 请参考
https://www.lidaren.com/archives/1702
Nginx替换OpenSSL为BoringSSL 请参考
https://www.lidaren.com/archives/1705
修改nginx.conf让nginx支持CHACHA20加密算法即可
这里增加”EECDH+CHACHA20:EECDH+CHACHA20-draft:”
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
#BoringSSL 默认关闭SSLv3
ssl_protocols TLSv1 TLSv1.1TLSv1.2; |
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
#BoringSSL 默认关闭SSLv3
ssl_protocols TLSv1 TLSv1.1TLSv1.2;
Read more…
先科普
LibreSSL是OpenSSL加密软件库的一个分支,为一个安全套接层(SSL)和传输层安全(TLS)协议的开源实现。在OpenSSL爆出心脏出血安全漏洞之后,一些OpenBSD开发者于2014年4月创立了LibreSSL,目标是重构OpenSSL的代码,以提供一个更安全的替代品。LibreSSL复刻自OpenSSL库的1.0.1g分支,它将遵循其他OpenBSD项目所使用的安全指导原则。
简单总结一下LibreSSL的优缺点
优点:兼容OpenSSL,代码简单,分支清晰,便于安装、使用和维护
缺点:不支持旧安全算法,部分加密算法效率不高。
安装编译环境
#安装编译环境
yum install -y gcc gcc-c++ pcre-devel openssl openssl-devel |
#安装编译环境
yum install -y gcc gcc-c++ pcre-devel openssl openssl-devel
创建工作目录,统一使用绝对路径
#创建工作目录,统一使用绝对路径
mkdir /work
cd /work |
#创建工作目录,统一使用绝对路径
mkdir /work
cd /work
Read more…
Recent Comments