Nginx HTTPS性能优化与安全设置指南

一、性能优化配置

1. SSL/TLS协议优化

ssl_protocols TLSv1.2 TLSv1.3;  # 禁用旧的不安全协议
ssl_prefer_server_ciphers on;    # 优先使用服务器端加密套件

2. 加密套件配置

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';

3. 会话复用配置

ssl_session_cache shared:SSL:10m;  # 共享会话缓存
ssl_session_timeout 1h;           # 会话超时时间
ssl_session_tickets on;           # 启用会话票证

4. OCSP Stapling优化

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

5. HTTP/2配置

listen 443 ssl http2;  # 启用HTTP/2

二、安全增强配置

1. HSTS头部

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

2. 安全头部

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.example.com; img-src 'self' data: https://*.example.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com";

3. 证书配置

ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/privkey.pem;
ssl_trusted_certificate /path/to/chain.pem;  # OCSP Stapling需要

4. DH参数增强

# 生成强DH参数(建议2048位以上)
openssl dhparam -out /etc/nginx/dhparam.pem 2048

ssl_dhparam /etc/nginx/dhparam.pem;

三、高级优化技巧

1. TLS 1.3 0-RTT配置

ssl_early_data on;  # 谨慎使用，可能有重放攻击风险

2. 多证书配置

listen 443 ssl http2;
ssl_certificate /path/to/cert1.pem;
ssl_certificate_key /path/to/key1.pem;

listen 443 ssl http2;
ssl_certificate /path/to/cert2.pem;
ssl_certificate_key /path/to/key2.pem;

3. 缓冲区大小优化

ssl_buffer_size 4k;  # 减少初始TLS记录大小

4. 证书自动续期

推荐使用Certbot自动续期脚本:

certbot renew --nginx --post-hook "systemctl reload nginx"

四、性能测试与验证

1. 使用Qualys SSL Labs测试:

   https://www.ssllabs.com/ssltest/
   

2. 使用OpenSSL测试性能:

   openssl s_time -connect example.com:443 -www / -new -ssl3
   

3. 使用JMeter或wrk进行压力测试

五、常见问题解决

1. 证书链不完整:

   • 确保包含中间证书
   • 使用openssl s_client -showcerts -connect example.com:443验证

2. OCSP Stapling失败:

   • 检查resolver配置
   • 验证证书是否支持OCSP

3. TLS握手慢:

   • 检查会话缓存配置
   • 考虑启用TLS 1.3

4. HTTP/2不工作:

   • 确保Nginx版本支持
   • 检查是否有旧版SSL模块冲突

通过以上配置，可以显著提升Nginx的HTTPS性能同时增强安全性。建议定期更新Nginx版本和SSL配置以应对新的安全威胁。