Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

几个nginx配置的疑惑 #91

Closed
yoshyv opened this issue Jan 7, 2024 · 5 comments
Closed

几个nginx配置的疑惑 #91

yoshyv opened this issue Jan 7, 2024 · 5 comments

Comments

@yoshyv
Copy link

yoshyv commented Jan 7, 2024

你好,

能否解释下以下几个 nginx 配置在代理环境下带来的性能提升,以及是否有牺牲安全性的代价。
为例

  1. ssl_session_tickets on;

Mozilla 建议 1.23.2 以前版本 nginx 禁用此选项因为会损坏前向保密 PFS。次选项是否对代理环境下有性能提升以及是否可能被用来代理识别?
mozilla/server-side-tls#135

  1. ssl_early_data on;
    在拒绝非证书内域名连接的 nginx block 中是否有意义?是否会安全性影响?
    看 v2ray issue 现在还不支持 early data。xray 的 websocket 支持,是否可以添加到 https://github.com/chika0801/sing-box-examples/blob/main/VMess-WebSocket-TLS/config_server.json ,如果没有安全性影响。

            proxy_set_header X-Real-IP          $remote_addr;
            proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;

websocket 反向代理部分是否两个都必要,一个不够还原IP么?

  1. 网站代理部分,地址还原配置是否是引用 https://www.nginx.com/resources/wiki/start/topics/examples/forwarded/ 的?

这部分和

            proxy_set_header X-Real-IP            $remote_addr;
            proxy_set_header X-Forwarded-For      $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto    $scheme;
            proxy_set_header X-Forwarded-Host     $host;
            proxy_set_header X-Forwarded-Port     $server_port;

有没重复?重复是否会造成负面影响?

是否应该强制服务端支持AEAD加密算法
ssl_prefer_server_ciphers on;

http2 on;
注释里面也写到只有1.25.1后才支持此directive。是否应该默认用旧写法,考虑到大部分用户都非手动编译最新版nginx。

谢谢
@chika0801
Copy link
Owner

chika0801 commented Jan 7, 2024
edited
Loading

ssl_session_tickets on;

用它,要么我当时是抄的 https://www.digitalocean.com/community/tools/nginx 生成的,要么是以前到处谷歌搜学nginx时抄来的习惯,要么是为了去跑 https://www.ssllabs.com/ssltest 时看哪些没用上,就加上的,用不用看你自己。具体哪一个原因忘记了。

ssl_early_data on;

这参数理由同上

问题3 问题4

应该是抄的 https://www.digitalocean.com/community/tools/nginx 中的

问题5

这参数没研究过,如果 https://www.digitalocean.com/community/tools/nginx 生成中没有的话我也不知道它。这配置跑 https://www.ssllabs.com/ssltest 我记得是A+

问题6

写了一句注释,太新手我也没法,网上自学,都是要有一定自己解决问题能力才来的。

@yoshyv
Copy link
Author

yoshyv commented Jan 7, 2024

sslabs和digitalocean的配置文件也是反对加 ssl_session_tickets on; 的,毕竟是个安全隐患。
如果在代理环境下没有什么性能提升的话这个应该 off 更安全。

early_data 这个没有搜到安全方面的影响,不过xray的ws实现能0-rtt,也许这个开了有正面作用?

ssl_prefer_server_ciphers on; 应该在所有配置生成工具里都是强制开启的。如果不开就可能用客户端指定的非安全的加密套件。

sslabs 如果 ssl_session_tickets 和 ssl_prefer_server_ciphers on 都开启了肯定是没法 A+的。不过问题在于这是针对网站的安全性测评,是否适用于代理环境值得商榷。是否应该和技术安全大佬们商量后修改一下模版呢?

@chika0801
Copy link
Owner

chika0801 commented Jan 7, 2024
edited
Loading

sslabs和digitalocean的配置文件也是反对加 ssl_session_tickets on; 的,毕竟是个安全隐患。

谢谢你提,你不提我也不知道,我改一下。

early_data 这个没有搜到安全方面的影响,不过xray的ws实现能0-rtt,也许这个开了有正面作用?

我也不清楚,当时这参数看到它时,有兴趣学加哪,就加上了。暂时不动吧,我懒了。应该对ws实现能0-rtt无帮助,我觉得。纯是别人正常访问你网站用?

ssl_prefer_server_ciphers on;

我搜了下它,开不开看个人吧,我有空改改,客户端都是自己在用,没人专门设置它的值吧,我是这样想的。

sslabs 如果 ssl_session_tickets 和 ssl_prefer_server_ciphers on 都开启了肯定是没法 A+的。不过问题在于这是针对网站的安全性测评,是否适用于代理环境值得商榷。是否应该和技术安全大佬们商量后修改一下模版呢?

我是菜鸟 ,东西内容是个人自用和方便自己复制粘贴放网上的。。。

@chika0801
Copy link
Owner

谢谢你的建议,我弄下

chika0801 added a commit to chika0801/Xray-examples that referenced this issue Jan 7, 2024
@chika0801
https://github.com/chika0801/sing-box-examples/issues/91
9fa22b9
chika0801 added a commit that referenced this issue Jan 7, 2024
@chika0801
https://github.com/chika0801/sing-box-examples/issues/91
7fddb69
@chika0801
Copy link
Owner

有什么再回复或开ISS找我。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@chika0801 @yoshyv